Une nouvelle vague de cyberattaque secoue le monde du développement logiciel ! Le registre Open VSX a vu plusieurs de ses extensions corrompues. Cette faille a permis de propager un malware sophistiqué nommé GlassWorm.
Un compte développeur compromis, la porte d’entrée idéale pour GlassWorm
Le 30 janvier 2026, la chaîne d’approvisionnement d’Open VSX a été frappée. Quatre extensions développées par l’auteur oorzc ont été contaminées par des versions infectées. Ces extensions, bien établies avec plus de 22 000 téléchargements, étaient jusque-là perçues comme fiables.
Le piratage s’est joué sur les credentials du développeur, probablement via un token fuit ou une autre faille d’accès. C’est un classique, mais toujours redoutable. Ces versions malveillantes ont vite été retirées, mais les dégâts sont pesants.
Follement malin, GlassWorm ne se contente pas d’infecter, il s’auto-propage. Il s’attaque aux développeurs via Open VSX et aussi sur le Microsoft Visual Studio Marketplace. C’est la méthode idéale pour contaminer un maximum de projets en aval.
GlassWorm, un malware discret et vicieux
Ce n’est pas un malware de débutant. GlassWorm emballe sa charge malveillante dans un loader qui se déclenche seulement après reconnaissance précise de la machine infectée. Il évite soigneusement les ordinateurs configurés pour les Russes, histoire de ne pas se faire pirater par sa propre maison.
Pour se camoufler, le malware utilise une technique appelée EtherHiding, super classe et pas évidente à détecter, qui lui permet de récupérer ses commandes en crypté et en temps réel. Il cible les données les plus critiques sur macOS et les portefeuilles de cryptomonnaie.
Parmi les cibles, on trouve les cookies, historiques et logins des navigateurs comme Firefox et Chromium, ainsi que des accès clés à iCloud, Safari et même Apple Notes. Sans oublier des fichiers VPN et des identifiants Dev comme ~/.aws et ~/.ssh, attention aux dégâts possibles !
Pourquoi les développeurs sont la cible préférée de ce malware
Les données visées par GlassWorm ne s’arrêtent pas à quelques infos banales. Non, c’est toute une base sensible qui est aspirée : accés à des dépôts privés, automatisation continue, secrets CI/CD… le jackpot pour un attaquant !
Les accès volés permettent des attaques en cascade et une infiltration dans les environnements cloud des entreprises ciblées. Autant dire que ceux qui croyaient être hors d’atteinte devraient revoir leur copie très vite.
Le malware surveille aussi les configs npm et GitHub, toujours à l’affût d’un _authToken ou d’autres preuves d’authentification pour s’infiltrer encore plus loin. Cette stratégie hybride mélange subtilité et brutalité numérique.
Une attaque moins visible mais plus efficace
Ce qui marque dans cette campagne, c’est l’usage d’un compte développeur légitime. Pas de fake, pas de typosquatting classique qui crispe tout le monde. Là, c’est carrément du mode furtif, en s’intégrant dans les flux habituels.
Les extensions malicieuses se cachent dans des loaders chiffrés, activés à l’exécution. Elles tournent en arrière-plan, se servent des mémos Solana comme cache dynamique et font tourner leur infrastructure sans republier les extensions infectées. Le genre d’astuce que même les antivirus ont du mal à détecter vite.
Résultat, les indices statiques tombent à l’eau, il faut miser sur la détection comportementale pour réagir vite et bloquer cette menace. Un vrai défi pour les équipes de sécurité qui doivent rester aux aguets en permanence.
Qui est derrière GlassWorm ?
La piste reste floue. Mais tout porte à croire que l’attaque évite les machines russes. Souvent, ce signe indique un groupe parlant russe ou affilié, qui ne veut pas attirer l’attention chez lui. Ça a déjà été vu dans d’autres campagnes notoires.
Les chercheurs de Koi Security et Socket Security sont sur le coup, dévoilant chaque détail de cette affaire. Mais entre la sophistication du malware et les manœuvres derrière, ce n’est pas un simple coup d’épée dans l’eau.
GlassWorm est une bien mauvaise nouvelle pour les développeurs et les experts en sécurité. Il rappelle que même un compte légitime peut servir d’arme redoutable dans la guerre du cyberespace.
Source: thehackernews.com
- Le Super Bowl se prépare à faire face à une menace croissante : la cybersécurité à l’ère de l’IA - février 5, 2026
- Cinq évolutions clés dans l’agenda cybersécurité de l’administration Trump - février 5, 2026
- Le retour discret de BlackBerry dans la cybersécurité : le PDG lève le voile - février 5, 2026
