GlassWorm : un malware infecte des projets Python

Un groupe de pirates appele GlassWorm a trouve un moyen redoutablement efficace pour infecter des projets informatiques. Leur cible : des centaines de projets Python heberges sur GitHub, la plateforme que les developpeurs du monde entier utilisent pour partager et collaborer sur du code.

Le principe de l'attaque

Imaginez que vous avez un trousseau de cles numeriques qui ouvre votre bureau, votre coffre-fort et votre voiture. Maintenant imaginez qu'un voleur met la main sur ce trousseau. C'est exactement ce qui s'est passe. GlassWorm a recupere des tokens d'acces GitHub, des sortes de passes numeriques qui permettent de se connecter a un compte sans mot de passe, lors d'une premiere campagne en octobre 2025.

A l'epoque, les pirates avaient piege des extensions pour Visual Studio Code, un logiciel tres utilise par les developpeurs pour ecrire du code. Ces extensions avaient ete telechargees plus de 35 000 fois. Chaque installation permettait potentiellement de voler le token GitHub du developpeur.

Comment les pirates modifient le code

Avec les tokens voles, les pirates se connectent aux comptes des developpeurs sur GitHub. Ensuite, ils utilisent une technique appelee force-push : ils reecrivent directement le code d'un projet sans laisser de traces visibles. C'est comme si quelqu'un modifiait un livre a la bibliotheque en remplacant quelques pages, le livre a le meme aspect exterieur, mais le contenu a change.

Le plus sournois, c'est qu'il n'y a aucune notification. Pas d'email d'alerte, pas de demande de validation. Le code malveillant apparait comme s'il avait toujours ete la.

Pourquoi Python est vise

Python est l'un des langages les plus utilises au monde, que ce soit pour creer des sites web, faire de l'analyse de donnees ou developper des programmes d'intelligence artificielle. Les pirates ajoutent leur code malveillant dans des fichiers que tout developpeur lance sans y reflechir quand il installe ou demarre un projet. Le code est volontairement rendu illisible pour echapper aux systemes de detection automatique.

L'effet domino

Ce type d'attaque s'appelle une supply chain attack, ou attaque de la chaine d'approvisionnement. C'est comme empoisonner l'eau a la source plutot que de cibler chaque verre individuellement. Si un developpeur utilise un projet infecte pour construire une application, cette application sera contaminee aussi. Et si des milliers de personnes utilisent cette application, le probleme se repand en silence.

Les supply chain attacks sont considerees comme l'une des menaces les plus serieuses en securite informatique. L'affaire SolarWinds en 2020 avait deja montre l'ampleur des degats possibles, et GlassWorm prouve que ce type d'attaque continue de faire des ravages.

Se proteger

Si vous etes developpeur, verifiez les modifications recentes des projets que vous utilisez, surtout sur les fichiers de configuration et les fichiers principaux. Activez les alertes de securite GitHub et la verification des signatures de commits, une methode qui certifie l'identite de la personne qui a modifie le code. Et si vous avez installe des extensions depuis OpenVSX entre octobre 2025 et aujourd'hui, changez vos tokens GitHub immediatement.

Pour les utilisateurs non-developpeurs, gardez vos logiciels a jour. C'est la meilleure facon de beneficier des correctifs quand ce genre de probleme est detecte.