Pendant plus d’un an, un redoutable botnet s’est attaqué aux développeurs de logiciels. Actifs depuis au moins début 2025, le botnet Glassworm vise des profils particuliers de développeurs open source. Le malware choisit en effet des cibles qui disposent d’un accès privilégié aux dépôts de code source et aux registres de paquets logiciels. En sélectionnant ses cibles, le botnet peut faire énormément de dégâts.
En compromettant l’ordinateur d’un développeur bien précis, Glassworm peut déclencher une réaction en chaîne qui va toucher des milliers d’organisations utilisant des outils open source. Le botnet s’est en effet spécialisé dans le déploiement d’attaques ciblées sur la chaîne d’approvisionnement logicielle.
À lire aussi : Cyberattaques russes en Europe – les Pays-Bas débranchent plus de 800 serveurs utilisés par les pirates
Un vaste arsenal d’extensions et de dépôts infectés
Pour s’introduire sur les machines des développeurs, Glassworm a déployé un arsenal particulièrement varié au fil des mois. Le botnet s’est notamment caché dans des extensions VSCode malveillantes, publiées sur la marketplace OpenVSX. Déguisées en outils légitimes et populaires, elles ont été massivement téléchargées par des développeurs. Le virus s’est aussi retrouvé dans des paquets npm et Python, ainsi que dans plus de 300 dépôts GitHub piégés. Ces dépôts ont été mis en ligne grâce à des identifiants de développeurs piratés en amont de la cyberattaque.
« La chaîne d’approvisionnement logicielle reste l’une des surfaces d’attaque les plus redoutables de l’informatique moderne. Les cybercriminels transforment les dépendances d’une organisation vis-à-vis des outils, des mises à jour et des bibliothèques en vecteurs d’attaque et en multiplicateurs de force », explique CrowdStrike dans son rapport consacré au botnet.
Une fois installé sur la machine de la victime, le malware déployait GlasswormRAT, un outil d’accès à distance complet. Ce logiciel malveillant est capable de voler des fichiers, des identifiants de connexion et des portefeuilles de cryptomonnaies. Bref, les intrusions orchestrées par Glassworm peuvent faire des dégâts colossaux.
Une infrastructure sophistiquée et résiliente
Le botnet se distingue par une infrastructure de commandement et de contrôle particulièrement sophistiquée. Les pirates s’appuient en effet sur quatre canaux de communication redondants, tous conçus pour résister aux tentatives de blocage ou de saisie des autorités. Le premier canal repose sur la blockchain. Les cybercriminels ont en effet eu l’idée de cacher les adresses des serveurs dans des transactions publiques sur le réseau Solana. Installé sur la machine d’un développeur, le virus n’avait qu’à consulter régulièrement la blockchain Solana pour y lire la dernière adresse de son serveur de contrôle.
La chaîne de blocs offre de nombreux avantages aux cybercriminels. Tout d’abord, les transactions sont immuables. Le registre ne peut être modifié, ce qui protège l’opération contre les tentatives de démantèlement. Ensuite, le trafic vers la blockchain Solana ressemble à n’importe quelle autre transaction de cryptos. Pour un outil de sécurité, il est très difficile de distinguer ce comportement malveillant d’une activité tout à fait normale, venant d’un développeur qui manipule des cryptomonnaies.
Enfin, la blockchain offre énormément de flexibilité aux hackers. Si les enquêteurs détectent et bloquent un serveur, les opérateurs n’ont qu’à publier une nouvelle transaction sur la blockchain avec une nouvelle adresse IP. Le malware la lira automatiquement et se reconnectera, ni vu ni connu. Notez que de plus en plus de cybercriminels se tournent vers la blockchain pour orchestrer leurs attaques. C’est notamment le cas des pirates nord-coréens. Ils cachent en effet des scripts malveillants sur la blockchain Ethereum ou sur la Binance Smart Chain.
Le deuxième canal s’appuie sur le réseau BitTorrent DHT (Distributed Hash Table), un système pair-à-pair mondial. Sur ce réseau peer-to-peer, les cybercriminels cachent les instructions destinées au botnet. Le troisième canal repose sur des événements Google Agenda. Dans ces événements, les pirates dissimulent des données de connexion. Comme l’explique CrowdStrike, « la combinaison blockchain, pair-à-pair et services web légitimes a été conçue pour résister aux démantèlements ». Enfin, le dernier canal était basé sur un VPS (Virtual Private Server, ou serveur privé virtuel), chargé de livrer les fichiers malveillants indispensables à l’opération.
À lire aussi : Comment savoir si un botnet a piraté votre smartphone, PC, TV, ou votre box Internet ?
Le démantèlement de GlassWorm
Pour mettre un terme aux agissements de GlassWorm, une coalition d’envergure a vu le jour. Composée de CrowdStrike, Google et la Shadowserver Foundation, la coalition a frappé simultanément tous les canaux de communication du botnet. Dans la journée du 26 mai 2026, ils ont coupé en même temps les accès à la blockchain Solana, au réseau BitTorrent DHT, aux calendriers Google détournés et aux serveurs VPS. Les pirates ont été privés de tout contrôle sur les machines infectées et de toute capacité à déployer de nouveaux malwares. Comme l’explique CrowdStrike, « toutes les machines compromises ne peuvent désormais plus recevoir de nouvelles instructions ni de charges utiles ».
Un botnet russe
Selon les investigations menées par les chercheurs de CrowdStrike, tout porte à croire que les cybercriminels à l’origine de GlassWorm viennent de la Russie. En effet, le malware vérifie la langue du système, la localisation géographique et le fuseau horaire au démarrage, et se désactive silencieusement si l’ordinateur se trouve en Russie ou dans un pays de la Communauté des États indépendants. C’est une habitude des cybercriminels russophones pour éviter d’attirer l’attention des autorités locales.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : CrowdStrike
