GlassWorm : un malware caché dans des centaines de projets Gi...

Imaginez que votre supermarché habituel vende soudainement des produits contaminés sans que personne ne s'en rende compte. C'est exactement ce qui vient de se passer dans le monde du développement logiciel.

Un malware baptisé GlassWorm vient de frapper fort. Plus de 430 composants logiciels ont été compromis sur des plateformes que les développeurs utilisent au quotidien : GitHub (la plus grande plateforme de code au monde), npm (un catalogue de briques logicielles pour JavaScript) et les extensions VSCode (des modules complémentaires pour l'éditeur de code le plus populaire).

Pourquoi c'est grave ? Parce qu'il s'agit d'une attaque dite de « supply chain » — littéralement, une attaque sur la chaîne d'approvisionnement. Au lieu de viser directement votre ordinateur, les pirates s'infiltrent dans les outils que les développeurs téléchargent pour construire des applications. Si un développeur installe sans le savoir un composant infecté, le malware se retrouve embarqué dans le logiciel final, potentiellement distribué à des millions d'utilisateurs.

La méthode de GlassWorm est particulièrement sournoise. Les attaquants utilisent des caractères Unicode invisibles pour masquer leur code malveillant. À l'œil nu, le fichier de code semble parfaitement normal. Mais caché entre les lignes, un programme espion se met en route.

Une fois activé, GlassWorm contacte un serveur de commande via la blockchain Solana — un réseau décentralisé normalement utilisé pour les cryptomonnaies. Toutes les cinq secondes, le malware vérifie s'il a de nouvelles instructions à exécuter. Son objectif : voler des portefeuilles de cryptomonnaies, des identifiants de connexion et des clés SSH (des passes d'accès utilisés par les développeurs pour se connecter à des serveurs).

Ce n'est pas la première apparition de GlassWorm. Repéré pour la première fois en octobre 2025, il revient régulièrement avec des vagues d'attaques de plus en plus larges. Cette nouvelle offensive est la plus massive à ce jour, touchant 200 dépôts Python, 151 dépôts JavaScript et 72 extensions VSCode.

Plusieurs équipes de chercheurs en sécurité — Aikido, Socket, Step Security — ont collaboré pour identifier et documenter cette campagne. Des indices dans le code, notamment des commentaires en russe et un mécanisme qui empêche le malware de fonctionner sur les systèmes configurés en langue russe, pointent vers des acteurs russophones.

Si vous êtes développeur, vérifiez vos projets récemment clonés depuis GitHub. Cherchez une variable nommée « lzcdrtfxyqiplpd » dans votre code et un fichier ~/init.json suspect sur votre machine. Ce sont les marqueurs connus de GlassWorm.

Pour tout le monde, cette affaire rappelle une réalité inconfortable : la sécurité d'un logiciel dépend de la sécurité de chacun de ses composants. Et quand des centaines de briques sont empoisonnées en même temps, les dégâts potentiels sont considérables.