🗓️ Contexte
Source : TechCrunch, publié le 27 mai 2026. CrowdStrike, en collaboration avec Google et l’organisation à but non lucratif Shadowserver, a annoncé le démantèlement d’un botnet baptisé Glassworm, utilisé par des cybercriminels pour distribuer des malwares et voler des identifiants auprès de développeurs de logiciels open source.
🎯 Acteurs et cibles
Le groupe derrière Glassworm opère depuis deux ans et cible spécifiquement les développeurs open source ainsi que la chaîne d’approvisionnement logicielle. L’objectif est de compromettre des postes de travail de développeurs pour propager des logiciels malveillants vers des milliers d’organisations en aval.
🛠️ Techniques d’attaque
Les attaquants ont employé plusieurs vecteurs :
- Publication d’extensions malveillantes sur des marketplaces destinées aux développeurs
- Malvertising : achat de résultats sponsorisés dans les moteurs de recherche pour inciter les victimes à télécharger des malwares
- Utilisation de credentials volés lors de précédentes compromissions pour détourner des comptes de développeurs et injecter du code malveillant
- Empoisonnement de plus de 300 dépôts GitHub
🌐 Infrastructure C2
Les quatre canaux de commande et contrôle (C2) démantelés reposaient sur :
- La blockchain Solana
- Le réseau peer-to-peer BitTorrent
- Google Calendar
- Des serveurs privés virtuels (VPS)
📊 Impact de l’opération
La neutralisation des quatre canaux C2 a coupé l’accès des attaquants aux machines infectées et interrompu la distribution de nouveaux malwares. L’autorité légale ou technique sous laquelle l’opération a été conduite n’a pas été précisée par CrowdStrike.
🔗 Contexte élargi
L’article mentionne deux autres campagnes distinctes :
- « Mini Shai-Hulud » : campagne ayant compromis plusieurs projets open source et au moins deux développeurs d’OpenAI
- Axios : outil open source populaire détourné en mars par un acteur suspecté d’être nord-coréen
📰 Nature de l’article
Article de presse spécialisée relatant une opération de démantèlement d’infrastructure malveillante, avec pour but principal d’informer sur les actions coordonnées de l’industrie contre une menace active visant la supply chain logicielle.
🧠 TTPs et IOCs détectés
Acteurs de menace
- Glassworm (cybercriminal) —
TTP
- T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
- T1608.001 — Stage Capabilities: Upload Malware (Resource Development)
- T1586.003 — Compromise Accounts: Cloud Accounts (Resource Development)
- T1583.003 — Acquire Infrastructure: Virtual Private Server (Resource Development)
- T1071 — Application Layer Protocol (Command and Control)
- T1102 — Web Service (Command and Control)
- T1555 — Credentials from Password Stores (Credential Access)
- T1656 — Impersonation (Defense Evasion)
- T1588.002 — Obtain Capabilities: Tool (Resource Development)
Malware / Outils
- Glassworm botnet (botnet)
🟡 Indice de vérification factuelle : 35/100 (moyenne)
- ⬜ techcrunch.com — source non référencée (0pts)
- ✅ 3159 chars — texte complet (15pts)
- ⬜ aucun IOC extrait (0pts)
- ⬜ pas d’IOC à vérifier (0pts)
- ✅ 9 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ✅ acteur(s) identifié(s) : Glassworm (5pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://techcrunch.com/2026/05/27/crowdstrike-and-google-take-down-botnet-used-by-hackers-to-target-software-developers-in-supply-chain-attacks/