GlassWorm ForceMemo : analyse d'une supply chain attack sur Gi...

Une campagne d'attaque informatique baptisee ForceMemo, menee par le groupe GlassWorm, cible les developpeurs Python en passant par GitHub, la plateforme ou des millions de programmeurs partagent leur code. L'idee est vicieuse : au lieu d'attaquer les utilisateurs finaux directement, les pirates s'en prennent aux outils que les developpeurs utilisent pour construire leurs logiciels.

C'est quoi une supply chain attack ?

Imaginez une usine qui fabrique des gateaux. Au lieu d'empoisonner chaque gateau un par un a la sortie de l'usine, quelqu'un met du poison dans la farine livree a l'usine. Tous les gateaux fabriques ensuite seront contamines, sans que personne ne s'en doute. C'est exactement le principe d'une supply chain attack, ou attaque de la chaine d'approvisionnement.

Dans le monde du logiciel, les developpeurs utilisent des briques de code deja faites par d'autres, comme des recettes partagees. Si un pirate reussit a modifier une de ces recettes, tous les logiciels qui l'utilisent deviennent potentiellement dangereux.

Comment GlassWorm s'y prend

Le groupe a d'abord vole des tokens GitHub. Un token, c'est une sorte de badge d'acces numerique qui permet de se connecter a un compte sans taper de mot de passe. Ces tokens avaient ete recuperes lors d'une premiere operation en 2025 qui ciblait des extensions pour editeurs de code.

Avec ces badges en main, les pirates se connectent aux comptes des developpeurs et modifient directement leur code sur GitHub. Ils utilisent une technique appelee force-push, qui permet de reecrire l'historique d'un projet. C'est comme effacer les traces de pas dans le sable : la modification apparait comme si elle avait toujours ete la. Pas de notification, pas d'alerte.

Pourquoi Python ?

Python est l'un des langages de programmation les plus utilises au monde, notamment dans la recherche en intelligence artificielle, l'analyse de donnees et le developpement web. Les pirates ciblent des fichiers clefs que les developpeurs executent automatiquement quand ils installent un projet, comme le fichier de configuration ou le fichier principal du programme.

Le code malveillant injecte est volontairement rendu illisible, une technique appelee obfuscation. C'est comme ecrire un message en utilisant un code secret : le texte est la mais incomprehensible a premiere vue. Les outils de detection automatique ont du mal a reperer ce genre de code masque.

Le serveur de commande sur Solana

Une fois installe, le code pirate contacte un serveur de commande, un ordinateur distant controle par les pirates qui donne des instructions au code malveillant. Ce qui est original ici, c'est que ce serveur utilise la blockchain Solana, un reseau informatique decentralise normalement utilise pour les cryptomonnaies.

En utilisant une blockchain, les pirates rendent leur serveur de commande beaucoup plus difficile a neutraliser. Fermer un site web classique, c'est relativement simple. Bloquer quelque chose sur une blockchain, c'est une autre histoire, puisque les donnees sont reparties sur des milliers d'ordinateurs dans le monde.

Comment se proteger

Si vous etes developpeur, verifiez regulierement les modifications recentes sur les projets que vous utilisez. Activez les alertes de securite sur GitHub et privilegiez les projets dont les modifications sont signees numeriquement, ce qui certifie l'identite de l'auteur. Si vous avez installe des extensions douteuses par le passe, changez immediatement vos tokens d'acces.

Pour les utilisateurs non-developpeurs, retenez que les logiciels que vous utilisez tous les jours reposent sur des briques de code partagees. Quand ces briques sont compromises, c'est tout l'edifice qui peut vaciller. Garder vos logiciels a jour reste la meilleure protection.