Une nouvelle vague de la famille de logiciels malveillants connue sous le nom de GlassWorm a de nouveau montré à quel point la chaîne d'approvisionnement du logiciel pour les développeurs peut être fragile. À cette occasion, les attaquants ont commis le compte d'un auteur légitime sur Open VSX - l'enregistrement des extensions alternatives et open source pour les éditeurs basés sur Visual Studio Code - et publié des mises à jour malveillantes sur plusieurs extensions qui ensemble ont dépassé 22 000 téléchargements avant d'être supprimés.
L'analyse technique publiée par l'équipe de sécurité Socket décrit comment les opérateurs derrière la campagne ont abusé du compte identifié comme oorzc pour injecter le chargeur GlassWorm dans quatre paquets Open VSX : oorzc.ssh-tools, oorzc.i18n-tools-plus, oorzc.mind-map et oorzc.scs-to-cs-compile. Les versions échouées ont été téléchargées le 30 janvier; jusqu'alors ces paquets étaient disponibles sans incident depuis environ deux ans, suggérant que les attaquants ont obtenu accès à l'environnement de publication du développeur et en ont profité pour diffuser des logiciels malveillants.
GlassWorm est conçu pour attaquer exclusivement macOS dans cette campagne et montre une large gamme de capacités d'espionnage. Le téléchargement de logiciels malveillants et l'exécution d'un extracteur d'information qui définit la persistance à travers un agent de lancement à exécuter au début de la session, et la recherche de données sensibles sur votre ordinateur: Identificateurs de navigateur Chrome et Firefox, extensions et applications de portefeuille cryptographique, entrée de clé macOS, bases de données Apple Notes, cookies Safari, secrets de développement et documents locaux. Selon Socket, toutes les informations recueillies ont été envoyées à une infrastructure contrôlée par les agresseurs dans l'adresse IP 45.32.150 [.] 251.
En plus du vol de données, GlassWorm intègre des fonctions qui facilitent la télécommande et le mouvement latéral : le support VNC pour l'accès graphique à distance et la possibilité de fonctionner comme un proxy SOCKS, permettant aux attaquants d'orienter le trafic à travers la machine compromise. Dans les campagnes précédentes, la famille GlassWorm avait déjà montré des techniques pour cacher le code malveillant par des caractères Unicode « invisibles » et avait essayé de détecter et d'interférer avec des applications de portefeuilles matériels comme Trezor et Ledger, ce qui dénote une évolution constante de leur capacité à attaquer des fonds critiques et des environnements de développement.
Un détail technique curieux et frappant est le mécanisme de commande et de contrôle observé : les opérateurs tirent des instructions des mémos de transaction du réseau Solana. Ce type de canal de contrôle distribué, utilisant des blockchains publiques pour transmettre des ordres, complique le suivi traditionnel et fournit une résilience à l'infrastructure des attaquants. Socket a également détecté des contrôles de l'environnement dans le code, y compris l'exclusion explicite des systèmes en forme de russe, une pratique qui est parfois interprétée comme une indication que les auteurs essaient d'éviter les victimes dans leur propre région.
La réponse de l'écosystème a été rapide : Socket a signalé l'incidence à la Fondation Eclipse, responsable de l'Open VSX, et l'équipe de la plateforme a confirmé l'accès non autorisé, annulé les jetons de publication engagés et éliminé les versions infectées des extensions. Dans un cas particulier, oorzc.ssh-tools a été complètement retiré de l'enregistrement après qu'il a été confirmé qu'il contenait plusieurs lancements malveillants. À ce jour, les versions publiques de ces extensions ont été nettoyées, mais cela n'enlève pas le risque pour ceux qui ont installé les mises à jour compromises pendant la période où ils étaient actifs. Pour la lecture et la couverture médiatique, BleepingComputer a documenté la campagne et son impact : Calculateur de roulement - GlassWorm en VSX ouvert.
Si vous avez installé l'une des versions concernées, il y a des mesures pratiques qui devraient être prises immédiatement. Tout d'abord, il suppose que l'équipe a été compromise : il effectue une analyse complète et élimine les fichiers et agents suspects - les LaunchAgens dans macOS sont un point clé à examiner - et envisage l'utilisation d'outils de détection et de nettoyage spécifiques pour macOS. Deuxièmement, modifier et casser les mots de passe, les clés et les jetons d'API, et activer l'authentification multifactorielle dans tous les services lorsque c'est possible; pour les développeurs, révoquer et rééditer les jetons d'édition dans les enregistrements d'extension est essentiel. Troisièmement, vérifiez n'importe quel portefeuille de cryptomonégas que vous avez utilisé sur cette équipe : si une clé privée ou une phrase de démarrage a été exposée, les recommandations de sécurité vous forcent à déplacer les fonds vers un nouveau portefeuille sécurisé. Apple offre des guides de sécurité généraux sur ses appareils qui peuvent aider à guider: Documentation de sécurité Apple.
Cet incident rappelle que la confiance dans la chaîne d'approvisionnement des logiciels est un lien essentiel avec la sécurité. Extensions et plugins sont des codes que nous exécutons dans des environnements de développement et de production; un seul paquet engagé peut filtrer les secrets d'infrastructure, les identifiants de dépôt et les données sensibles. Des projets tels que Open VSX permettent une alternative ouverte aux marchés officiels, mais n'éliminent pas la nécessité de contrôles supplémentaires: les publications de signe, les processus de publication d'audit, limiter les autorisations et maintenir la rotation des secrets sont des mesures qui aident à réduire l'impact si un acteur malveillant a accès à un compte légitime.
Pour mieux comprendre comment les transactions fonctionnent à Solana et pourquoi leur utilisation comme canal de contrôle est pertinente, la documentation officielle du projet fournit un contexte technique sur le format et les mémos: Documentation transactionnelle en Espagne. Et si vous êtes responsable de la sécurité des paquets et des extensions, envisagez de mettre en œuvre des audits d'intégrité et des politiques de publication plus strictes; les opérateurs d'inscription et de plateforme devraient améliorer la détection des publications atypiques et faciliter la révocation rapide des titres de compétence engagés.
La leçon est claire : la sécurité du développeur n'est plus seulement une question d'hygiène personnelle, mais une responsabilité collective. Un paquet avec des milliers de téléchargements peut devenir un vecteur d'exfiltration de masse si un attaquant peut publier une mise à jour malveillante. La tenue de registres d'activités informés, la surveillance des secrets de rotation et l'application de contrôles techniques de publication sont des pratiques qui sont essentielles aujourd'hui pour réduire le risque de rediffusion d'un futur GlassWorm.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
malveillant VS Extensions de code : l'attaque qui a exposé 3 800 dépôts internes
GitHub a confirmé qu'un dispositif d'un employé engagé par une extension malveillante de Visual Studio Code a permis l'exfiltration de centaines ou de milliers de dépôts interne...
Grafana expose le nouveau visage de la sécurité : attaques sur la chaîne d'approvisionnement qui ont exposé des jetons, des dépôts internes et des dépendances npm
Grafana Labs a confirmé le 19 mai 2026 que l'intrusion détectée au début du mois n'a pas compromis les systèmes de production ou le fonctionnement de Grafana Cloud, mais a affec...