Les chercheurs en sécurité ont détecté une nouvelle itération de campagne plus élaborée connue sous le nom de GlassWorm, qui combine des techniques malveillantes de chaîne d'approvisionnement avec une attaque multi-étapes conçue pour voler des identifiants, des portefeuilles de cryptomonéda vides et maintenir un accès à distance persistant aux équipes engagées. À cette occasion, les attaquants sont allés un pas plus loin: en plus de distribuer des logiciels malveillants par des paquets contaminés dans les dépôts de développeurs, ils finissent par forcer l'installation d'une extension Google Chrome qui passe par la version hors ligne de Google Docs et exfilter réellement des données sensibles.
Le premier point d'entrée reste l'écosystème open source : paquets malveillants publiés dans npm, PyPI, GitHub et le marché ouvert VSX, ainsi que mises à jour compromises dans des projets légitimes dont le compte de maintenance a été usurpé. De là, la campagne télécharge des composants spécifiques selon le système d'exploitation de la victime, consultant des sources cachées qui agissent comme des « gouttes mortes ». Les chercheurs d'Aikido décrivent comment les opérateurs utilisent les transactions dans la chaîne de verrouillage de Solana pour cacher l'adresse du serveur de commande et de contrôle (C2), une méthode qui complique la détection et l'attribution (voir la documentation de Solana) et a déjà été documenté dans le rapport technique publié par Aikido Voilà..
La chaîne d'attaque se décompose en plusieurs phases. La deuxième étape installe un cadre de vol d'information : il cherche des identifiants, tente d'extraire des portefeuilles de cryptomonéda et collecte des profils système. Toutes les informations recueillies sont emballées et envoyées à un serveur distant. À partir de ce moment, l'intrus peut télécharger deux modules supplémentaires : un binaire .NET visant à éviter la sécurité des portefeuilles matériels et un RAT basé sur JavaScript (Remote Access Trojan) qui communique avec WebSocket pour capturer les données du navigateur et exécuter le code arbitraire.
Le composant .NET surveille les événements matériels grâce à l'infrastructure Windows Management Instrumentation (WMI) pour détecter lorsqu'un périphérique USB est connecté. Si l'appareil semble être un Ledger ou un Trezor, une fenêtre de phishing est affichée qui émule l'interface du fabricant et exhorte l'utilisateur à entrer les 24 mots de la phrase de récupération. En outre, les logiciels malveillants peuvent terminer les processus de gestion de portefeuille légitimes (par exemple Ledger Live) et redisplay la fenêtre frauduleuse si l'utilisateur essaie de la fermer. Le but ultime est de capturer la phrase de récupération et de l'envoyer dans une direction contrôlée par les attaquants. Microsoft maintient la documentation sur WMI qui aide à comprendre comment ces capacités sont utilisées Voilà. alors que les fabricants de portefeuilles matériels mettent constamment en garde contre l'entrée de la graine dans l'ordinateur ou les applications non vérifiées, comme il explique Grand livre et Trezor.
Le JavaScript RAT complète le scénario avec une gamme de fonctionnalités qui incluent le téléchargement d'un module HVNC pour la télécommande cachée, la création d'un proxy SOCKS via WebRTC, et l'extraction de masse des données du navigateur : cookies, historique, marqueurs, stockage local et la structure DOM de l'onglet actif. Pour assurer un accès à long terme, malware force l'installation d'une extension Chrome appelée "Google Docs Offline." Cette extension agit comme cheval de Troie: elle communique avec le C2 et peut envoyer des cookies et des jetons de session, capturer des impulsions clés, prendre des captures d'écran et exfilter des données de presse-papiers.
L'extension peut également appliquer des règles de surveillance sélectives: elle apporte à partir des listes de serveurs des sites à surveiller et, dans les cas observés, elle a été préconfigurée pour surveiller des services de cryptomoneda comme Bybit, à la recherche de cookies spécifiques (p. ex. jeton de suite ou périphérique). Si vous détectez une session valide, lancez un crochet web sur le serveur attaquant avec des cookies et des métadonnées sur la page. En outre, le C2 peut envoyer des règles de redirection pour forcer l'onglet actif à pointer vers les pages contrôlées par l'attaquant, facilitant la session et les attaques d'hameçonnage en temps réel. Pour mieux comprendre ce qu'une extension peut exposer, les développeurs peuvent examiner la documentation officielle des extensions Chrome Voilà..
Quant aux mécanismes d'obtention du serveur de contrôle, les auteurs utilisent plusieurs stratégies : une table de hachage distribuée (DHT) comme première option et, si elle échoue, une résolution au moyen de mémos dans la chaîne de blocs de Solana. Dans d'autres cas, les URLs publiques des événements du calendrier Google ont été utilisées comme « gouttes mortes » pour récupérer l'adresse de la charge utile. L'utilisation de ces couches d'ensilage - DHT, blockchains et ressources publiques - ajoute de la complexité à la réponse et au blocage du trafic malveillant; pour comprendre la genèse et le fonctionnement de DHT une explication technique peut être trouvée Voilà..
Un autre nouveau développement est le déplacement des acteurs vers l'écosystème du modèle de protocole contextuel (MCP), où ils ont commencé à publier des paquets de npm qui supplantaient des services réputés du champ IA pour distribuer le code infecté. Les chercheurs de Koi ont souligné que, dans un contexte de développement de plus en plus soutenu par l'IA et avec une grande confiance placée sur les serveurs MCP, ce vecteur est inquiétant et sera probablement reproduit.
Afin de faciliter la détection locale, la société polonaise AFINE a publié un outil open source appelé chasse aux vers de verre qui scanne les fichiers locaux à la recherche d'objets liés à la campagne sans faire de demandes réseau pendant l'analyse. L'outil et sa base d'indicateurs d'engagement sont disponibles dans le dépôt officiel de GitHub Voilà., et AFINE explique sa méthodologie dans cet article technique Voilà.. Le rapport d'Aikido sur l'extension Chrome et RAT fournit plus de détails techniques et peut être consulté sur votre blog Voilà..
Si vous êtes un développeur ou un agent de sécurité, les leçons sont claires : ne faites pas confiance aveuglément à un paquet pour son nombre de téléchargements; vérifiez l'historique du publicateur, activez une forte authentification dans les comptes de maintenance, signature et blocage des dépendances critiques, et effectuez des examens d'intégrité avant de déployer. De plus, l'isolement des environnements de développement et le maintien des contrôles de détection et d'intervention peuvent limiter l'impact de ce type d'infrastructure offensive. Pour une approche institutionnelle des chaînes d'approvisionnement en logiciels, il convient de considérer les guides des agences officielles comme CISA et NSA la sécurité dans la chaîne d'approvisionnement.
Enfin, si vous utilisez des portefeuilles matériels, rappelez-vous que vous ne devez jamais entrer la phrase de récupération dans un ordinateur ou dans une fenêtre émergente, et que le seul moyen sûr de récupérer l'accès est de suivre les processus officiels du fabricant. Les signatures légitimes et les mises à jour officielles demeurent l'obstacle le plus efficace contre les campagnes qui combinent ingénierie sociale et abus techniques. Garder informé, limiter les privilèges et valider les sources est aujourd'hui la défense la plus raisonnable contre les menaces comme GlassWorm.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...