CrowdStrike, en collaboration avec Google et l'organisation à but non lucratif Shadowserver, a annoncé la démantèlement du botnet Glassworm. Cette campagne de cybersécurité visait à neutraliser un réseau criminel spécialisé dans les attaques par chaîne d'approvisionnement de logiciels, ciblant spécifiquement les développeurs de code ouvert depuis deux ans. L'opération a permis de perturber les capacités des attaquants à propager des malwares et à voler des identifiants, protégeant ainsi des milliers d'organisations dépendant de ces logiciels. Selon un rapport de CrowdStrike, l'objectif de cette action était de stopper les activités d'un groupe cybercriminel dont les stratégies s'étaient durcies. Les attaquants ont réussi à compromettre plus de 300 dépôts de code sur la plateforme GitHub en exploitant la confiance inhérente aux écosystèmes de développement en open source. Cette confiance est souvent le vecteur principal utilisé par les pirates, qui visent non plus les produits finaux, mais les créateurs eux-mêmes. Comme l'indique l'entreprise, la compromission d'une seule station de travail de développeur peut entraîner une cascade de failles touchant des milliers d'organisations en aval. Le réseau Glassworm employait plusieurs tactiques sophistiquées pour infiltrer ses cibles. Ils publiaient des extensions malveillantes sur des marchés dédiés aux développeurs, utilisaient la malvertising pour inciter les victimes à télécharger des logiciels corrompus via des résultats de recherche sponsorisés, et exploitaient des identifiants volés lors de précédentes intrusions pour prendre le contrôle des comptes et altérer le code. Une fois infectés, les systèmes étaient contrôlés via quatre canaux de commande et de contrôle. Ces serveurs utilisaient une diversité de technologies pour rester discrets, notamment la blockchain Solana, le réseau pair-à-pair BitTorrent, Google Calendar et des serveurs privés virtuels. La destruction de ces canaux par CrowdStrike a coupé l'accès des pirates aux ordinateurs infectés et mis fin à la distribution de nouveaux malwares. Il n'est pas encore certain de l'autorité légale ou technique précise ayant permis à CrowdStrike et à ses partenaires d'exécuter cette prise en charge du botnet. Un porte-parole de CrowdStrike n'a pas fourni de commentaires immédiats sur ce point. Cette opération survient dans un contexte de montée en puissance des attaques contre la chaîne d'approvisionnement logicielle. La semaine précédente, un autre groupe appelé Mini Shai-Hulud a compromis plusieurs projets open source, touchant notamment un développeur d'OpenAI. De plus, en mars, un pirate informatique présumé nord-coréen avait pris le contrôle de l'outil de développement populaire Axios, utilisé par des millions de développeurs. Ces multiples incidents soulignent la vulnérabilité critique des infrastructures logicielles modernes face à des adversaires déterminés à exploiter les dépendances entre les éditeurs et les utilisateurs finaux.