GlassWorm : un malware caché dans 400 projets open source
Le malware GlassWorm a infecté plus de 400 dépôts de code sur GitHub et npm. Comment des développeurs se font piéger sans le savoir.
GlassWorm : un malware caché dans 400 projets open source
Imaginez un réseau de restaurants qui partagent les mêmes fournisseurs. Un jour, l'un de ces fournisseurs livre de la farine contaminée. Personne ne s'en rend compte — la farine a l'air normale, elle sent normal. Mais chaque restaurant qui l'utilise sert désormais des plats empoisonnés à ses clients.
C'est exactement ce qui se passe dans le monde du développement logiciel avec GlassWorm, un malware qui vient d'infecter plus de 400 projets de code open source.
C'est quoi, une attaque supply-chain ?
Quand un développeur crée une application, il ne part pas de zéro. Il utilise des briques logicielles créées par d'autres — des bibliothèques, des extensions, des outils prêts à l'emploi. C'est comme cuisiner avec des ingrédients préfabriqués : du bouillon en cube, de la pâte feuilletée toute faite, des épices en sachet.
Le problème, c'est que si quelqu'un empoisonne l'un de ces ingrédients, tous les plats qui l'utilisent deviennent dangereux. C'est ce qu'on appelle une attaque supply-chain — une attaque sur la chaîne d'approvisionnement.
Comment GlassWorm fonctionne
Les pirates derrière GlassWorm ont pris le contrôle de comptes de développeurs sur GitHub (la plus grande plateforme de code au monde, un peu comme le YouTube du code), puis ont modifié discrètement leurs projets pour y insérer du code malveillant.
Le tour de force : le code dangereux est rendu invisible grâce à des caractères Unicode spéciaux. À l'œil nu, le code semble identique à l'original. Même un développeur qui relit le code ne voit rien d'anormal. C'est comme écrire un message avec une encre invisible — le texte visible est innocent, le message caché est dangereux.
Au total, 433 composants ont été infectés :
- 200 projets Python sur GitHub
- 151 projets JavaScript/TypeScript sur GitHub
- 72 extensions pour VSCode (l'éditeur de code le plus populaire au monde)
- 10 paquets npm (le magasin de composants JavaScript)
Ce que vole le malware
Une fois installé sur l'ordinateur d'un développeur, GlassWorm s'active toutes les 5 secondes pour vérifier s'il a de nouvelles instructions. Ces instructions sont cachées dans des transactions sur la blockchain Solana — une technique originale qui rend le malware très difficile à bloquer, puisque la blockchain est par nature décentralisée et résistante à la censure.
Le malware cherche :
- Les données de portefeuilles crypto (Bitcoin, Ethereum, Solana...)
- Les mots de passe et identifiants enregistrés
- Les clés SSH (des sortes de passe-partout numériques pour accéder à des serveurs)
- Les tokens d'accès aux outils de développement
Pourquoi ça nous concerne tous
Vous n'êtes peut-être pas développeur, mais les applications que vous utilisez chaque jour sont construites avec ces briques logicielles. Si un développeur d'une app que vous utilisez a installé un composant GlassWorm sans le savoir, les données collectées par le malware sur son poste pourraient compromettre l'infrastructure qui fait tourner votre app.
C'est le côté pervers des attaques supply-chain : elles visent les développeurs pour atteindre les utilisateurs finaux.
Qui est derrière
Plusieurs indices pointent vers des acteurs russophones. Le malware désactive automatiquement son exécution si l'ordinateur est configuré en langue russe — une technique classique pour éviter de cibler des compatriotes, déjà vue dans de nombreuses campagnes de ransomware russes.
Mais ces indices ne constituent pas une preuve formelle, et les chercheurs en sécurité restent prudents sur l'attribution.
Comment se protéger
Pour les développeurs, les chercheurs de Step Security recommandent de vérifier si leur code contient la variable "lzcdrtfxyqiplpd" (un marqueur de GlassWorm), de chercher un fichier suspect ~/init.json, et d'inspecter l'historique des commits Git pour repérer des modifications suspectes.
Pour les utilisateurs, le conseil reste le même qu'avec les attaques supply-chain précédentes : gardez vos applications à jour, utilisez un gestionnaire de mots de passe, et activez l'authentification à deux facteurs partout où c'est possible. Si vos cryptos sont sur un portefeuille logiciel, envisagez de passer à un portefeuille matériel.
À lire aussi
Nmap avancé : audit réseau et détection de vulnérabilités
Maîtrisez les techniques avancées de Nmap : scripts NSE, scan furtif, timing, détection d'OS, export automatisé et intégration dans vos workflows de sécurité.
Scanner son réseau avec Nmap : le guide pas à pas
Apprenez à utiliser Nmap pour détecter les appareils connectés, les ports ouverts et les failles de sécurité sur votre réseau. Guide complet pour débutants.
Audit de mots de passe avec KeePassXC : guide technique avancé
Audit complet de votre base KeePassXC : vérification HIBP en CLI, détection de doublons, automatisation avec keepassxc-cli et hardening de la base de données.