Glassworm

🗓️ Contexte Source : TechCrunch, publié le 27 mai 2026. CrowdStrike, en collaboration avec Google et l’organisation à but non lucratif Shadowserver, a annoncé le démantèlement d’un botnet baptisé Glassworm, utilisé par des cybercriminels pour distribuer des malwares et voler des identifiants auprès de développeurs de logiciels open source. 🎯 Acteurs et cibles Le groupe derrière Glassworm opère depuis deux ans et cible spécifiquement les développeurs open source ainsi que la chaîne d’approvisionnement logicielle. L’objectif est de compromettre des postes de travail de développeurs pour propager des logiciels malveillants vers des milliers d’organisations en aval. ...

🎯 Contexte Le 26 mai 2026 à 14h00 UTC, CrowdStrike Counter Adversary Operations a publié un rapport détaillant l’opération de démantèlement coordonnée du botnet Glassworm, menée en collaboration avec Google et la Shadowserver Foundation. L’opération a ciblé une infrastructure active depuis au moins début 2025. 🕵️ Acteur et ciblage Les opérateurs de Glassworm sont probablement basés en Russie, sur la base de plusieurs indicateurs convergents : vérification de la locale, de la langue et du fuseau horaire au runtime (sortie silencieuse si machine en pays CEI), et présence de commentaires en langue russe dans le code source. La campagne ciblait spécifiquement les développeurs logiciels, pour leur accès privilégié aux dépôts de code source, pipelines CI/CD, registres de paquets et plateformes cloud. ...

🗓️ Contexte Publié le 26 avril 2026 sur CyberAccord, cet article rapporte l’escalade de l’opération GlassWorm, une campagne de supply chain ciblant le marketplace Open VSX (alternative open source au VS Code Marketplace). Cette vague fait suite à une première découverte en mars 2026 de 72 extensions malveillantes liées à la même opération. 🎯 Stratégie des extensions dormantes (Sleeper Extensions) Les attaquants publient des extensions initialement inoffensives pour gagner en crédibilité et accumuler des téléchargements avant de les weaponiser via une mise à jour malveillante. Les techniques employées incluent : ...

🔍 Contexte Rapport publié le 2 avril 2026 par OpenSourceMalware.com, issu d’une investigation débutée le 31 janvier 2026. L’analyse documente une campagne active baptisée TasksJacker, attribuée avec un niveau de confiance MEDIUM-HIGH à des acteurs liés à la Corée du Nord (DPRK). 🎯 Vecteur d’attaque principal Les attaquants injectent des fichiers .vscode/tasks.json malveillants dans des dépôts GitHub compromis. La fonctionnalité "runOn": "folderOpen" de VS Code déclenche automatiquement l’exécution d’une commande shell dès qu’un développeur ouvre le dossier cloné — sans interaction utilisateur supplémentaire. ...

Selon The Hacker News, la campagne d’attaque de la chaîne d’approvisionnement GlassWorm s’intensifie, s’appuyant sur des extensions Open VSX malveillantes et plus de 150 dépôts GitHub compromis. Type d’attaque: attaque de la chaîne d’approvisionnement (supply chain) 🔗 Composants impliqués: des dizaines d’extensions Open VSX malveillantes 🧩; plus de 150 dépôts GitHub compromis 📦 Campagne: GlassWorm 🐛 L’article souligne l’ampleur de la compromission sur deux écosystèmes clés (extensions et dépôts de code), utilisée comme partie intégrante de la campagne GlassWorm. ...

Source: tip-o-deincognito (GlassWorm: Part 2). Ce suivi technique couvre 72 h supplémentaires de monitoring de l’infostealer macOS GlassWorm, détaillant la rotation d’infrastructure C2 via mémos Solana, la persistance des panels de gestion, la poursuite des injections GitHub et une mise à jour des IoCs. L’opérateur a publié trois mémos Solana le 13 mars menant à de nouveaux C2, a fait tourner les chemins de payload et maintient plusieurs serveurs C2 Socket.IO actifs en parallèle. Malgré un kill switch HTTP (process.exit(0)), les serveurs continuent l’« inventory-only mode » et les injections GitHub se sont poursuivies jusqu’au 14 mars. Le DHT (ex-« push-like » de config) a été abandonné, au profit de mémos Solana publics. ...

Selon BleepingComputer, une quatrième vague de la campagne GlassWorm cible des développeurs macOS en utilisant des extensions malveillantes de VSCode/OpenVSX pour livrer des versions trojanisées d’applications de portefeuilles crypto. L’attaque repose sur des extensions VSCode/OpenVSX malveillantes qui servent de vecteur pour déposer des applications de portefeuilles crypto trojanisées sur les machines des victimes. Les développeurs macOS sont explicitement visés 🎯. Contexte général Une quatrième vague de la campagne malveillante GlassWorm cible désormais exclusivement les développeurs macOS, marquant une évolution notable par rapport aux précédentes attaques orientées Windows. L’attaque repose sur des extensions malveillantes VS Code/OpenVSX qui distribuent des versions trojanisées de portefeuilles de cryptomonnaies. ...

Source: Nextron Systems (blog, 28 nov. 2025). L’éditeur décrit son pipeline de scan d’artefacts à grande échelle (Docker Hub, PyPI, NPM, extensions Chrome/VS Code) basé sur THOR Thunderstorm pour détecter scripts obfusqués, charges encodées et implants. Découverte clé ⚠️: une extension VS Code malveillante baptisée “Icon Theme: Material” publiée par “IconKiefApp” (slug Marketplace: Iconkieftwo.icon-theme-materiall) mime l’extension légitime de Philipp Kief. La version 5.29.1 publiée le 28/11/2025 à 11:34 contient deux implants Rust (un PE Windows et un Mach-O macOS) situés dans icon-theme-materiall.5.29.1/extension/dist/extension/desktop/. Plus de 16 000 installations ont été observées. La 5.29.0 ne contenait pas ces implants. L’extension a été signalée à Microsoft et était encore en ligne le 28/11 à 14:00 CET. ...

Selon BleepingComputer, la campagne Glassworm, apparue en octobre sur les marketplaces OpenVSX et Microsoft Visual Studio, en est désormais à sa troisième vague. Glassworm : une troisième vague plus massive, plus sophistiquée et mieux dissimulée 1. Une campagne persistante qui cible les écosystèmes VS Code La campagne Glassworm, apparue en octobre, entre dans sa troisième vague : ➡️ 24 nouveaux packages malveillants ont été identifiés sur le Microsoft Visual Studio Marketplace et OpenVSX. Ces plateformes fournissent des extensions aux éditeurs compatibles VS Code, ce qui en fait une cible privilégiée pour atteindre les environnements de développement. ...

Selon Secure Annex (blog), l’éditeur a observé une reprise des attaques liées au malware Glassworm exploitant les marketplaces d’extensions de code pendant la période des fêtes. L’article détaille une campagne où des extensions populaires sont clonées, leurs compteurs de téléchargements manipulés, puis mises à jour après approbation avec du code malveillant. • Nature de l’attaque: clonage d’extensions populaires (ex. outils/frameworks comme Flutter, Tailwind, Vim, YAML, Svelte, React Native, Vue), manipulation des compteurs de téléchargements pour crédibiliser les faux paquets, et mise à jour post-approbation injectant des charges malveillantes. L’attaque profite de l’interface des éditeurs de code où la fausse extension peut apparaître à côté de la légitime, rendant le choix difficile et la compromission à un clic. ⚠️ ...