Actif depuis plus d’un an, ce botnet infiltrait silencieusement les postes de travail des développeurs via de faux outils de code, menaçant en cascade des milliers d’organisations. Le 26 mai 2026, CrowdStrike, Google et la fondation Shadowserver ont annoncé avoir neutralisé son infrastructure lors d’une frappe coordonnée.

Cette campagne malveillante ne visait pas des utilisateurs lambda ni des systèmes d’entreprise exposés. Les opérateurs de Glassworm ont fait un choix stratégique : s’attaquer directement aux développeurs de logiciels.

Un ciblage qui obéit à une logique évidente : un développeur infecté, c’est un accès potentiel aux dépôts de code source, aux pipelines d’intégration, aux registres de paquets et aux plateformes cloud.

Autant de risques qui ont fait de Glassworm une des priorités des grandes entreprises de cybersécurité. Le 26 mai 2026, CrowdStrike, Google et la fondation Shadowserver ont annoncé avoir porté un coup majeur à cette menace invisible.

Une campagne malveillante devenue un immense réseau de machines infectées

Actifs depuis au moins début 2025 et menaçant l’ensemble de l’écosystème via des attaques par supply chain, les attaquants cachés derrière Glassworm ont visé, au fil du temps, tout l’environnement utile à un développeur : de la publication de fausses extensions sur des éditeurs de texte comme VS Code, Cursor ou Windsurf à l’empoisonnement de paquets npm et Python, en passant par la compromission de plus de 300 dépôts GitHub grâce à des identifiants volés sur des machines déjà infectées.

logo Polytechnique blanc (1)
image 2
Formez-vous à la cybersécurité
100 000 postes à pourvoir d’ici 2030 : la cybersécurité, unen jeu majeur pour la souveraineté numérique française et un choix de carrière fort.
S’inscrire au Webinaire gratuit du 28 mai

Chacune de leurs victoires leur permettait d’augmenter le nombre de machines infectées.

Au cœur de leur arsenal, GlasswormRAT permettait de voler des identifiants, d’exfiltrer des informations et de prendre le contrôle à distance des machines. L’opération était multiplateforme : Windows, macOS et Linux étaient tous concernés.

Cycle d'infection de Glassworm // Source : Crowdstrike
Cycle d’infection de Glassworm // Source : Crowdstrike

Une infrastructure conçue pour résister

Ce qui rendait Glassworm particulièrement difficile à neutraliser, c’est la conception de son infrastructure de commande. Autrement dit, le mécanisme qui lui permettait de piloter les machines compromises. Les serveurs de contrôle, ou C2, n’étaient pas joignables via une simple adresse IP à bloquer : les opérateurs avaient conçu quatre canaux redondants.

Les adresses des serveurs étaient encodées dans des transactions sur la blockchain Solana, ce qui les rendait très difficiles à supprimer. Un second canal passait par le réseau pair-à-pair BitTorrent. Un troisième utilisait les titres d’événements Google Calendar comme points de dépôt pour des instructions encodées. Le quatrième reposait sur une infrastructure classique hébergée chez des fournisseurs VPS.

Couper un seul canal aurait donc été inutile : les machines infectées auraient basculé vers les autres. La neutralisation a ainsi exigé une action simultanée sur les quatre canaux.

La frappe coordonnée du 26 mai

CrowdStrike, Google et la fondation Shadowserver ont ainsi annoncé avoir mené une opération coordonnée, neutralisant simultanément les quatre canaux C2 de Glassworm. Les machines infectées sont désormais coupées de leurs opérateurs et ne peuvent plus recevoir d’instructions ni de nouvelles charges utiles.

La vraie question, désormais, concerne la durée d’efficacité de ce coup de filet. Il est fort probable qu’une infrastructure similaire, menée par les mêmes acteurs, puisse être remise sur pied. Reste qu’une telle opération impose forcément un coût en ressources et en temps précieux.

Quant à l’identité des responsables, les indices pointent vers la Russie : le malware vérifie les paramètres régionaux et le fuseau horaire de la machine au démarrage, et se ferme discrètement si elle se trouve dans un pays de la CEI, une tactique classique des cybercriminels russes pour éviter de cibler leurs voisins. Des commentaires en russe parsèment le code source.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !