Le 26 mai 2026 à 14:00 GMT, l’équipe de CrowdStrike, en partenariat avec Google et la Shadowserver Foundation, a lancé une offensive simultanée contre les canaux de commande et de contrôle du malware et botnet Glassworm, coupant les opérateurs de leurs machines infectées.
Active depuis début 2025, cette menace ciblait spécifiquement les développeurs via des extensions et paquets vérolés. Son infrastructure était conçue pour être particulièrement résiliente.
Le botnet Glassworm infectait les développeurs
Glassworm employait une stratégie d’attaque à plusieurs volets pour infiltrer les environnements de développement.
Les opérateurs publiaient des extensions VSCode nuisibles sur la marketplace OpenVSX et déguisées en outils populaires. Ces extensions malveillantes affectaient non seulement VSCode, mais aussi Cursor, Positron, Positron ou encore VSCodium.
En parallèle, la menace se propageait par le biais des paquets npm et Python compromis, exécutant du code malveillant lors de l’installation de dépendances. Plus de 300 dépôts GitHub ont été piégés en utilisant des identifiants de développeurs volés.
L’objectif final était de déployer GlasswormRAT, un outil d’accès à distance capable de voler des identifiants et des portefeuilles de cryptomonnaies sur Windows, macOS et Linux.
Une infrastructure difficile à démanteler
La résilience de Glassworm résidait dans son architecture de commande et de contrôle à plusieurs canaux, conçue pour résister aux tentatives de démantèlement classiques.
Les opérateurs avaient recours à diverses techniques pour masquer leurs serveurs. CrowdStrike note que » la combinaison de la blockchain, du peer-to-peer et de services web légitimes protégeait les serveurs de commande et de contrôle réels derrière plusieurs couches d’indirection « .
L’infrastructure reposait sur quatre piliers : la blockchain Solana avec un stockage des adresses des serveurs dans des transactions, le réseau BitTorrent DHT pour récupérer des données de configuration, des événements Google Agenda, des connexions directes à des serveurs traditionnels.
Une suspicion d’origine russe
Les opérateurs de Glassworm sont suspectés d’être basés en Russie. Des indices, comme l’arrêt du malware sur les machines de certains pays et des commentaires en russe dans le code source, pointent vers cette origine.
Suite au démantèlement, toutes les machines infectées communiquent désormais avec une adresse IP bénigne contrôlée par CrowdStrike.