GlassWorm Malware Takedown Disrupts Developer Supply Chain Attack Infrastructure

1 minute de lecture

Mis à jour : May 27, 2026

Démantèlement de l’infrastructure GlassWorm : une menace pour la chaîne d’approvisionnement logicielle

CrowdStrike, en collaboration avec Google et la Shadowserver Foundation, a neutralisé les canaux de commande et de contrôle (C2) du malware GlassWorm. Ce réseau cybercriminel visait spécifiquement les développeurs de logiciels pour infiltrer les environnements de développement (CI/CD, dépôts de code) et compromettre la chaîne d’approvisionnement logicielle.

Points clés :

Mode opératoire : Utilisation d’extensions VS Code piégées (Marketplace et Open VSX) et de packages npm/Python malveillants.
Objectifs : Vol d’identifiants (GitHub, jetons, portefeuilles crypto), exfiltration de données (captures d’écran, frappes clavier) et transformation des machines infectées en nœuds de proxy SOCKS ou serveurs VNC pour des intrusions ultérieures.
Infrastructure résiliente : Le malware utilisait quatre canaux C2 redondants : la blockchain Solana (memo fields), le réseau BitTorrent DHT, Google Calendar et des serveurs VPS classiques.
Attribution : Opération liée à des cybercriminels probablement basés en Russie (détection de commentaires en russe et évitement des systèmes situés dans les pays de la CEI).
Impact : Plus de 300 dépôts GitHub empoisonnés.

Vulnérabilités exploitées :

Absence de protection suffisante des environnements de développement et des pipelines CI/CD.
Confiance aveugle dans les extensions tierces et les dépendances open-source.
Note : Aucune CVE spécifique n’est mentionnée, car l’attaque repose sur l’ingénierie sociale et l’empoisonnement de paquets/extensions légitimes.

Recommandations :

Gestion des extensions : Restreindre l’installation d’extensions VS Code aux seules sources vérifiées et approuvées par l’entreprise.
Sécurisation des accès : Appliquer le principe du moindre privilège aux jetons d’accès et aux clés API (GitHub, npm).
Surveillance : Auditer régulièrement les dépendances intégrées aux pipelines de build et surveiller les comportements anormaux des processus Node.js sur les stations de travail.
Hygiène numérique : Utiliser des solutions EDR (Endpoint Detection and Response) pour bloquer les communications vers des infrastructures C2 suspectes et détecter les comportements de type RAT (Remote Access Trojan).

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

GlassWorm Malware Takedown Disrupts Developer Supply Chain Attack Infrastructure

Démantèlement de l’infrastructure GlassWorm : une menace pour la chaîne d’approvisionnement logicielle

Partager sur

Vous pourriez aimer

Windows 11 KB5089573 update released with performance improvements

Mise à jour facultative KB5089573 pour Windows 11 : Performances et Sécurisation du démarrage

Malicious npm Package Stole Files From Claude AI User Directory via GitHub

Exfiltration de données via le paquet npm malveillant “Malware-Slop”

KnowledgeDeliver flaw exploited as a zero-day to install web shells

Vulnérabilité critique dans KnowledgeDeliver : Exploitation de clés machine statiques

ISC Stormcast For Wednesday, May 27th, 2026 https://isc.sans.edu/podcastdetail/9946, (Wed, May 27th)

Indisponibilité du contenu technique