Le botnet Glassworm a été démantelé grâce à une action menée conjointement par CrowdStrike, Google et The Shadowserver Foundation. Ce logiciel malveillant ciblait particulièrement les développeurs via la compromission d’outils open source, l’infection d’extensions et de faux dépôts GitHub.

Pour rappel : Glassworm est un botnet qui sévit à l’échelle mondiale qui cible les développeurs via la chaîne d’approvisionnement logicielle. Par extension, les organisations sont aussi directement ciblées via l’infection de ces machines. Le malware est capable d’infecter autant les machines Windows, Linux, que macOS.

Une neutralisation de l’infrastructure C2

Le 26 mai 2026, une action coordonnée a permis de shutdown le botnet Glassworm. Menée par CrowdStrike, Google et la Shadowserver Foundation, cette opération de démantèlement a ciblé simultanément les 4 canaux de communication “C2” (Command & Control) utilisés par le botnet. L’objectif était de pouvoir couper simultanément l’ensemble des communications entre les machines infectées et les cybercriminels.

“Les opérateurs de Glassworm ont conçu leur infrastructure dans un souci de résilience. L’architecture C2 du botnet s’appuyait sur quatre canaux distincts, conçus pour résister aux tentatives traditionnelles de démantèlement.”, soulignent les chercheurs de CrowdStrike.

Bien que l’opération de démantèlement soit un succès, nous ignorons le nombre exact de systèmes touchés. Dans tous les cas, c’est une bonne nouvelle : il y une vague croissantes d’attaques ciblant les environnements de développement et les environnements CI/CD depuis quelques mois (notamment via TeamPCP).

Le mode opératoire : infiltrer les outils de développement

Pour piéger les développeurs, et je dirais même les informaticiens d’une façon générale, les attaquants derrière Glassworm ont bâti une chaîne d’infection exploitant la confiance accordée aux outils de l’écosystème open source. Dans leur rapport, les chercheurs de CrowdStrike ont mis en évidence plusieurs méthodes de propagation :

• L’empoisonnement de paquets open source,
• La diffusion de fausses extensions malveillantes pour l’outil gratuit Visual Studio Code,
• L’utilisation de malvertising,
• La création de dépôts GitHub qui se faisaient passer pour légitimes auprès des développeurs.

Une fois une machine infectée, le malware Glassworm était capable de collecter des informations sensibles, allant des jetons d’authentification (les précieux tokens) aux identifiants cloud. Le côté Botnet s’explique par le fait que Glassworm est conçu de manière à maintenir un accès à distance persistant et distribuer des payloads additionnelles au sein des workflows des développeurs.

“Plus de 300 dépôts GitHub ont été compromis à l’aide d’identifiants de développeurs volés lors d’infections antérieures par Glassworm, un code malveillant ayant été forcé dans les branches par défaut.”, précise le rapport.