Le botnet Glassworm, qui ciblait les développeurs dans des attaques de chaîne d’approvisionnement logicielle, a été démantelé. Des chercheurs ont détruit son infrastructure de commande et de contrôle, qui reposait sur des transactions de la blockchain Solana et sur le réseau distribué BitTorrent DHT.
Lors d’une opération coordonnée menée hier, CrowdStrike, Google et The Shadowserver Foundation ont coupé l’accès des opérateurs du botnet à quatre canaux de commande distincts. Ces canaux étaient conçus pour résister aux tentatives classiques de neutralisation.
Les campagnes de Glassworm se poursuivaient depuis octobre 2025. Elles visaient d’abord les développeurs avec de fausses extensions pour OpenVSX et Microsoft VS Code. Ces extensions volaient des portefeuilles de cryptomonnaies et des identifiants de développeurs.
Les vagues d’attaques suivantes se sont étendues à des dépôts GitHub et à des paquets npm. Une campagne en mars a affecté plus de 400 artefacts logiciels.
Dans une attaque plus récente, les opérateurs de Glassworm ont placé des dizaines d’extensions dormantes sur OpenVSX. Ces extensions activaient leur composant malveillant seulement après une mise à jour.
La menace a pu persister longtemps à cause de son infrastructure de commande. Elle utilisait des canaux de communication non traditionnels, qui sont difficiles à bloquer.
« L’association de la blockchain, du pair-à-pair et de services web légitimes formait des couches de résolution conçues pour être résistantes aux fermetures. Cette façade dynamique protégeait les véritables serveurs de commande derrière plusieurs niveaux d’indirection », expliquent les chercheurs de CrowdStrike.
Ils précisent que les opérateurs de Glassworm ont construit leur infrastructure pour la résilience. Détruire le botnet a exigé de frapper simultanément ses quatre canaux de commande :
- La blockchain Solana : Les adresses des serveurs de commande étaient encodées dans les champs ‘mémo’ des transactions. Cela créait un ‘dead drop’ immuable et public, que les méthodes classiques ne pouvaient pas mettre hors ligne.
- La table de hachage distribuée de BitTorrent : Le GlasswormRAT interrogeait le réseau pair-à-pair BitTorrent pour obtenir des données de configuration liées à des clés publiques figées. Il exploitait ainsi un réseau mondial décentralisé, sans point de défaillance unique.
- Un service de calendrier public : Glassworm utilisait les titres d’événements de Google Calendar comme emplacements ‘dead drop’ pour des chemins de commande encodés en Base64.
- Les connexions directes aux serveurs : Une infrastructure traditionnelle de commande, hébergée chez des fournisseurs de services VPS commerciaux, servait de mécanisme final pour la livraison des charges utiles.
source : CrowdStrike
Avec cette architecture, la perturbation d’un seul canal aurait eu peu d’impact sur les opérations de Glassworm. Les communications auraient pu basculer sur un autre canal, ce qui aurait permis à la menace de garder le contrôle.
Il a fallu perturber les quatre canaux en même temps, de manière coordonnée. Maintenant, les machines infectées ne reçoivent plus de nouvelles instructions ni de nouvelles charges utiles », déclare CrowdStrike.
Après cette neutralisation, toutes les machines compromises par Glassworm envoient des signaux vers l’adresse IP 164.92.88[.]210, qui est contrôlée par CrowdStrike.
Les organisations sont invitées à rechercher cet indicateur réseau et à prendre immédiatement des mesures correctives. Les chercheurs ont également publié des règles YARA pour confirmer les infections sur des machines suspectes.