GlassWorm : 433 composants compromis sur GitHub, npm et VSCode

Le groupe de pirates GlassWorm vient de frapper un grand coup : 433 composants logiciels compromis sur trois plateformes majeures du developpement informatique. On parle de GitHub, npm et des extensions Visual Studio Code. Voici comment cette attaque fonctionne, expliquee sans jargon.

Trois plateformes visees en meme temps

Pour comprendre l'ampleur du probleme, il faut savoir ce que sont ces trois plateformes. GitHub, c'est l'endroit ou les developpeurs stockent et partagent leur code, un peu comme un Google Drive geant pour les programmeurs. npm, c'est le catalogue de composants prefabriques pour JavaScript, le langage qui fait fonctionner la majorite des sites web. Et Visual Studio Code, c'est l'editeur de texte le plus populaire chez les developpeurs, avec un magasin d'extensions qui ajoutent des fonctionnalites.

En infectant des composants sur ces trois plateformes en meme temps, GlassWorm ratisse large. C'est comme contaminer la farine, le beurre et les oeufs en meme temps : quel que soit ce que vous cuisinez avec, le resultat est empoisonne.

La technique du camouflage Unicode

Ce qui rend cette attaque techniquement interessante, c'est la methode utilisee pour cacher le code malveillant. Les pirates utilisent des caracteres Unicode speciaux, des caracteres invisibles qui existent dans les polices de texte mais qui ne s'affichent pas a l'ecran. C'est comme ecrire un message avec de l'encre invisible entre les lignes d'un texte normal.

Un developpeur qui ouvre le fichier dans son editeur de code ne voit rien d'anormal. Le code semble propre. Mais les caracteres invisibles contiennent des instructions malveillantes qui s'executent en arriere-plan. Les outils de detection automatique, qui cherchent des motifs suspects dans le code visible, passent a cote.

Un serveur de commande sur la blockchain

Une fois installe, le code malveillant doit communiquer avec les pirates pour recevoir des instructions et envoyer les donnees volees. Normalement, ce genre de communication passe par un serveur classique, une sorte d'ordinateur central que les autorites peuvent identifier et deconnecter.

GlassWorm fait autrement. Le serveur de commande utilise Solana, une blockchain, c'est-a-dire un reseau informatique decentralise ou les donnees sont reparties sur des milliers d'ordinateurs dans le monde. Fermer un serveur classique, c'est comme debrancher une prise. Neutraliser quelque chose sur une blockchain, c'est comme essayer d'effacer un message qui a ete copie sur des milliers de cahiers differents.

Plus de 200 depots Python et 72 extensions infectes

Les chiffres sont parlants : plus de 200 depots de code Python compromis sur GitHub, des packages npm pieges, et 72 extensions Visual Studio Code infectees. Chaque fois qu'un developpeur installe ou met a jour un de ces composants, le code malveillant se retrouve sur sa machine.

Et le probleme ne s'arrete pas la. Les logiciels construits avec ces composants compromis sont eux aussi potentiellement touches. Un developpeur infecte qui publie une application transmet le probleme a tous les utilisateurs de cette application, sans le savoir.

Pourquoi ca vous concerne

Meme si vous ne touchez jamais a du code, les applications de votre telephone, les sites web que vous visitez et les logiciels de votre ordinateur sont construits avec ces briques de code. Quand les briques sont empoisonnees, tout ce qui est construit avec l'est aussi.

Gardez vos logiciels et applications a jour. C'est le moyen le plus simple de beneficier des correctifs publies par les editeurs quand ce genre de compromission est detecte. Et si un logiciel vous demande une mise a jour, ne la repoussez pas a demain.