Glassworm : Comment les cybercriminels russes ont détourné la Blockchain et Google Agenda avant de se faire neutraliser!!

-

Salut à tous les amoureux de l'high-tech,

C’est le coup de filet cyber de ce printemps 2026. Une coalition internationale majeure vient d’annoncer le démantèlement complet de Glassworm, un botnet d'une sophistication rare qui ciblait en silence l'écosystème open source depuis plus d'un an.

Menée conjointement par les équipes de CrowdStrike, de Google et de la Shadowserver Foundation, l'opération a frappé un grand coup le 26 mai 2026 en coupant simultanément les quatre canaux de communication des pirates. Une victoire cruciale pour la sécurité de la chaîne d'approvisionnement (supply chain), car ce malware ne visait pas de simples particuliers, mais directement les ordinateurs des développeurs de logiciels.

Fiche technique du démantèlement (Mai 2026)

  • Nom du botnet / malware : Glassworm (ou GlasswormRAT)

  • Origine suspectée : Russie / Cybercriminels russophones (le malware s'autodétruit s'il détecte une langue ou un fuseau horaire de la CEI)

  • Cibles prioritaires : Développeurs open source (Windows, macOS, Linux) ayant des accès privilégiés à GitHub, npm ou PyPI.

  • Acteurs de la neutralisation : CrowdStrike Counter Adversary Operations, Google, Shadowserver Foundation.

  • Date de l'assaut : 26 mai 2026 (14h00 UTC).

Pourquoi cibler les développeurs ? (L'effet domino)

Le botnet Glassworm illustre un changement de paradigme majeur chez les attaquants. Plutôt que de pirater une entreprise de front, ils s'attaquent à la racine : les développeurs qui écrivent le code.

En infectant la machine d'un seul codeur, les pirates récupèrent ses identifiants et forcent des mises à jour malveillantes directement dans des bibliothèques logicielles publiques. Résultat : des milliers d'entreprises et d'organisations téléchargent l'outil infecté lors de leurs mises à jour de routine, déclenchant une infection de masse.

L'arsenal de propagation de Glassworm :

  • Extensions VSCode empoisonnées : Publiées sur la marketplace OpenVSX (déguisées en outils de formatage ou de gestion de temps).

  • Paquets npm et Python (PyPI) : Injectés via des scripts d'installation automatique.

  • Dépôts GitHub piégés : Plus de 300 dépôts légitimes ont été détournés et modifiés à l'insu de leurs créateurs.

  • Invisible à l'œil nu : Le malware utilisait des caractères Unicode invisibles (Unicode variation selectors) pour dissimuler son code malveillant dans les éditeurs de texte des développeurs.

L'infrastructure à 4 têtes : Le génie de la résilience

Si Glassworm a pu tenir aussi longtemps, c'est que son système de Commandement et Contrôle (C2) n'était pas hébergé sur un serveur classique (facile à couper), mais dissimulé derrière quatre canaux redondants. Si l'un tombait, le malware basculait sur le suivant :

                  ┌──► 1. Blockchain Solana (Memos de transactions)
                  │
 [Machine Infectée]├──► 2. Réseau BitTorrent (Table DHT / Clés publiques)
                  │
                  ├──► 3. Google Agenda (Chiffres Base64 dans les titres)
                  │
                  └──► 4. Serveur VPS Classique (Hébergement des charges utiles)

  1. La Blockchain Solana (Le canal principal) : Les pirates encodaient les adresses IP de leurs serveurs dans le champ "Memo" de transactions publiques sur le réseau Solana. La blockchain étant immuable, personne ne pouvait effacer ces instructions. De plus, pour les outils de sécurité, ce trafic ressemblait à de la spéculation crypto tout à fait banale.

  2. Le réseau BitTorrent (DHT) : Le malware interrogeait le réseau peer-to-peer mondial pour retrouver ses configurations via des clés publiques spécifiques. Pas de serveur central, pas de point de défaillance unique.

  3. Google Agenda (L'indirection) : Les attaquants créaient des événements sur des calendriers Google et cachaient des chemins d'accès chiffrés en Base64 dans les titres des événements.

  4. Des serveurs VPS classiques : Utilisés en bout de chaîne pour livrer les fichiers malveillants finaux (destinés à voler les portefeuilles crypto Ledger/Trezor, les mots de passe et les jetons de session).

Les points forts de la neutralisation : Un assaut chirurgical

Le coup de maître de la coalition (CrowdStrike, Google, Shadowserver) a été la simultanéité. Couper un ou deux canaux n'aurait servi à rien : le botnet aurait survécu.

Le 26 mai 2026, les équipes ont neutralisé en même temps les accès aux transactions Solana ciblées, purgé les calendriers Google détournés, bloqué les requêtes DHT et saisi les serveurs VPS. Pour parfaire la victoire, CrowdStrike a configuré une redirection sécurisée : toutes les machines infectées à travers le monde pointent désormais vers une adresse IP totalement bénigne et stérile (164.92.88.210). Les pirates ont définitivement perdu la main.

Le verdict du blog :

Glassworm est la preuve que les frontières de la cybercriminalité ont bougé. L'utilisation combinée de la blockchain et d'outils du quotidien comme Google Agenda montre le niveau de créativité des groupes étatiques ou parrainés. Pour les développeurs en 2026, le message est clair : auditez vos extensions VSCode et surveillez vos dépendances, vous êtes la première ligne de défense du web moderne.

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Règlement d'un montant de 1,375 milliard de dollars de Google pour le Texas!!

-
Image
Salut à tous, Aujourd'hui, on se retrouve pour parler de Google qui a   récemment accepté de verser 1,375 milliard de dollars à l'État du Texas pour régler deux poursuites l'accusant de suivre les données personnelles des utilisateurs, y compris leur localisation, leurs recherches en mode incognito, ainsi que leurs données vocales et faciales, sans leur consentement. Ces poursuites ont été initiées par le procureur général du Texas, Ken Paxton, en 2022. Ce règlement est le plus important jamais obtenu par un procureur général contre Google en matière de lois sur la vie privée au niveau national. Paxton a déclaré : « Au Texas, Big Tech n'est pas au-dessus des lois. » Un porte-parole de Google a indiqué que l'entreprise réglait ces poursuites sans admission de culpabilité et sans avoir à modifier ses produits. José Castañeda a précisé que ce règlement concernait des réclamations anciennes, dont beaucoup avaient déjà été résolues ailleurs, et a souligné que Google cont...
Lire la suite

Clap de fin sur le rachat Activision Blizzard par Microsoft: la FTC perd en appel!!

-
Image
Salut à tous, Aujourd'hui, on se retrouve pour la fin du feuilleton du rachat d'Activision Blizzard King par Microsoft touche à sa fin. La Federal Trade Commission (FTC), l'autorité américaine de la concurrence, a perdu son appel visant à bloquer cette acquisition de 69 milliards de dollars. Cette décision judiciaire lève le dernier obstacle juridique aux États-Unis, rendant l'opération désormais officielle sur ce marché clé. Une victoire décisive pour Microsoft Après plusieurs mois de batailles judiciaires, Microsoft a triomphé. La cour d'appel américaine a confirmé la décision de première instance, rejetant les arguments de la FTC qui tentait d'obtenir une injonction pour suspendre le rachat. Ce revers pour le régulateur souligne son incapacité à freiner la consolidation dans le secteur technologique et du jeu vidéo. Les préoccupations de la FTC La FTC s'était opposée à cette acquisition en évoquant des risques pour la concurrence, craignant que Microsoft ...
Lire la suite

Investissement d'un montant d'1 milliard d'euros dans un data center européen par Tik Tok!!

-
Image
Salut à tous, Aujourd'hui, on se retrouve pour parler de l'annonce de TikTok à propos d'un investissement d'un milliard d'euros pour la construction d'un nouveau data center à Kouvola, dans le sud-est de la Finlande.  La semaine précédente, l'Union européenne avait infligé une amende de 530 millions d'euros à TikTok, accusé de transférer les données des utilisateurs européens vers la Chine sans garanties suffisantes contre l'accès des autorités chinoises. En réponse, TikTok a annoncé son intention de faire appel de cette décision. L'initiative en Finlande s'inscrit dans le cadre du Projet Clover, un programme plus vaste de 12 milliards d'euros lancé par TikTok pour renforcer la protection des données de ses 175 millions d'utilisateurs européens. L'entreprise considère cette infrastructure comme une « étape significative » dans son engagement envers la sécurité des données sur le continent. Le futur data center permettra de stocker...
Lire la suite