Les experts en sécurité du groupe Bkav estiment que des dizaines de milliers d'ordinateurs de programmeurs ont été infectés par GlassWorm. L'attaque a provoqué une réaction en chaîne : les pirates ont utilisé ces appareils comme tremplin pour infiltrer les réseaux internes des entreprises, manipuler le code source, puis répliquer et propager automatiquement le virus de manière exponentielle à travers toute la chaîne d'approvisionnement mondiale des logiciels, y compris au Vietnam.
Cette campagne d'attaques ne visait pas l'exploitation directe des vulnérabilités logicielles. Les pirates ont plutôt utilisé des comptes volés et des jetons d'accès pour injecter du code malveillant dans du code source légitime partagé par les programmeurs sur des plateformes de dépôt de code et des plateformes d'utilitaires logiciels.
Les modifications malveillantes sont effectuées sous couvert de comptes légitimes ou dissimulées dans l'historique des mises à jour du code source (commit), notamment l'auteur, le contenu et la date de contribution, comme pour les mises à jour légitimes, ce qui les rend apparemment normales et difficiles à détecter visuellement ou par des vérifications préliminaires.
« Les pirates informatiques intègrent directement des commandes malveillantes dans des caractères Unicode “invisibles” du code, transformant ainsi des lignes de texte apparemment vides en outils d’attaque dissimulés. À l’œil nu ou lors de vérifications préliminaires, le code paraît parfaitement normal. Il est donc difficile pour les programmeurs et les outils de test traditionnels de détecter la moindre anomalie », explique Nguyen Dinh Thuy, expert en logiciels malveillants chez Bkav.
Outre l'injection de logiciels malveillants dans les dépôts de code source, GlassWorm utilise également des techniques d'injection de caractères Unicode « invisibles » dans certaines de ses attaques afin de contourner les systèmes de vérification automatisés. Au lieu d'utiliser des serveurs classiques facilement détectables et neutralisés, cette campagne exploite le réseau blockchain Solana pour stocker et transmettre les commandes de contrôle. Le système du pirate est ainsi décentralisé et extrêmement difficile à arrêter. Parallèlement, le logiciel malveillant alterne entre au moins six adresses IP de serveurs C2 pour maintenir la communication et dissimuler son activité.
Une fois activé, le logiciel malveillant dérobe des données sensibles telles que les portefeuilles de cryptomonnaies, les clés de sécurité SSH, les codes d'authentification et les informations système des programmeurs, étendant ainsi sa pénétration au sein des systèmes de l'organisation. Plus précisément, cette attaque s'est propagée à l'environnement de travail quotidien des programmeurs, via des outils de développement, des extensions ou des segments de code dépendants intégrant le logiciel malveillant.
Au Vietnam, des plateformes comme GitHub et npm sont largement utilisées dans le développement de produits, des applications web et mobiles aux systèmes d'entreprise. Si une bibliothèque populaire est infectée par un logiciel malveillant, le risque peut se propager à de nombreux projets logiciels et systèmes d'entreprise nationaux via les dépendances utilisées par les développeurs. Bkav recommande aux développeurs et aux entreprises technologiques de : figer les versions et désactiver les mises à jour automatiques des bibliothèques et extensions afin de prévenir les infections croisées ; intégrer des outils d'analyse de code automatisés directement dans l'IDE ou le flux CI/CD pour une analyse continue et la détection précoce du code obscurci ou des caractères cachés ; pour les dépôts de code source, l'authentification multifacteur (MFA) et les principes d'autorisation minimale sont obligatoires ; la fonctionnalité de déploiement forcé est désactivée sur les branches critiques ; s'assurer que tous les terminaux sont équipés d'un antivirus professionnel et le combiner avec des solutions EDR/XDR avancées pour créer une double couche de défense, ciblant spécifiquement les logiciels malveillants furtifs ou ceux qui ne laissent pas de traces dans les fichiers.
Source : https://www.sggp.org.vn/glassworm-tan-cong-chuoi-cung-ung-phan-mem-post844638.html
![[Image] Aspect de l'autoroute Bien Hoa-Vung Tau avant son ouverture.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/03/25/1774430324663_ndo_br_2-resize-6064-jpg.webp)
Comment (0)