GlassWorm revient en force : 433 dépôts de code infectés

Le malware GlassWorm fait son retour avec une attaque de grande ampleur. Cette fois, 433 depots de code ont ete infectes sur plusieurs plateformes que les developpeurs utilisent au quotidien : GitHub, npm et les extensions Visual Studio Code. On vous explique ce que ca signifie et pourquoi ca vous concerne, meme si vous n'etes pas developpeur.

C'est quoi un depot de code ?

Un depot de code, c'est comme un dossier partage en ligne ou des developpeurs rangent le code source de leurs projets. GitHub en heberge des millions. npm, c'est le catalogue de reference pour les projets en JavaScript, le langage qui fait tourner la quasi-totalite des sites web. Et Visual Studio Code, c'est l'editeur de code le plus utilise au monde, avec un magasin d'extensions qui ajoutent des fonctionnalites.

Quand un pirate infecte un depot sur ces plateformes, c'est comme glisser un ingredient toxique dans un rayon de supermarche : tout le monde qui se sert ensuite est potentiellement touche.

433 composants infectes

L'ampleur de cette vague est impressionnante. On parle de plus de 200 depots Python sur GitHub, de packages npm compromis et de dizaines d'extensions pour Visual Studio Code. Les developpeurs qui ont telecharge ou mis a jour ces composants ont potentiellement installe du code malveillant sur leur machine sans le savoir.

Le code injecte par GlassWorm vole des informations sensibles : tokens d'acces, mots de passe, donnees de configuration. Ces informations permettent ensuite aux pirates de s'introduire dans d'autres systemes, creant un effet boule de neige.

Comment GlassWorm echappe a la detection

Les pirates utilisent une technique d'obfuscation, c'est-a-dire qu'ils rendent leur code malveillant volontairement illisible. C'est comme ecrire un message en code secret : le texte est la mais impossible a comprendre sans la bonne cle de lecture. Les outils de securite automatises ont beaucoup de mal a reperer ce genre de camouflage.

De plus, GlassWorm communique avec ses operateurs via un serveur de commande heberge sur une blockchain, un reseau informatique decentralise. C'est beaucoup plus difficile a neutraliser qu'un serveur classique, parce que les donnees sont reparties sur des milliers d'ordinateurs dans le monde.

Une menace invisible pour les utilisateurs finaux

Vous n'etes pas developpeur et vous vous dites que ca ne vous concerne pas ? Reflechissez-y a deux fois. Les applications que vous utilisez sur votre telephone, les sites web que vous consultez, les logiciels sur votre ordinateur, tout ca repose sur des briques de code ecrites par des developpeurs. Si ces briques sont compromises a la source, les produits finis le sont aussi.

C'est le principe d'une supply chain attack, une attaque de la chaine d'approvisionnement logicielle. Au lieu d'attaquer chaque utilisateur un par un, les pirates empoisonnent les outils avec lesquels les logiciels sont construits.

Comment se proteger

Pour les developpeurs, la vigilance est de mise : verifiez les sources de vos dependances, activez les alertes de securite sur les plateformes que vous utilisez, et mefiez-vous des modifications recentes non expliquees sur des projets que vous suivez.

Pour tout le monde, gardez vos applications et systemes d'exploitation a jour. Les editeurs de logiciels publient des correctifs des qu'un probleme de ce type est identifie. Les mises a jour automatiques sont votre meilleure ligne de defense face a ce genre de menace invisible.