Glass Worm : le ver invisible qui infecte la chaîne d’approvisionnement

Photo of author
Écrit par Mimie

Mon goût pour la liberté : internet, lectures, culture, et quelques tutos utiles.

⇒ Mon roman
glassworm malware

Glass Worm revient avec 24 extensions malveillantes qui se font passer pour des outils de développement populaires.

C’est un ver informatique invisible, d’où son nom. Depuis octobre environ, une campagne dite de supply chain nommée Glass Worm se propage via des extensions disponibles sur les marketplaces officiels de Microsoft Visual Studio et Open VSX.

Ces extensions usurpent l’identité de frameworks connus comme Flutter, React, Tailwind, Vim ou Vue. Signalé pour la première fois en octobre, ce malware utilise la blockchain Solana pour ses communications et vole les identifiants des développeurs (npm, GitHub, etc.), ainsi que les cryptomonnaies, avant d’infecter la machine.

Un ver qui se propage de lui-même

Une fois installé, Glass Worm vole vos identifiants (mots de passe, jetons, cookies) et utilise vos comptes pour compromettre d’autres packages ou extensions, créant ainsi une chaîne de contamination automatique. C’est ce qui en fait un véritable ver informatique.

Les chercheurs ont identifié 24 extensions malveillantes à l’origine de cette campagne.

L’astuce de l’invisibilité

La particularité de Glass Worm réside dans son invisibilité. Il utilise des caractères Unicode invisibles (espaces sans largeur, caractères de contrôle) pour cacher son code malveillant dans ce qui semble être des espaces blancs.

Lorsqu’un analyste ouvre l’une de ces extensions, il ne voit que du texte normal, avec de grands espaces vides entre les lignes. En réalité, ces espaces contiennent le code malveillant, rendu invisible à l’œil nu.

Comme le souligne la société de sécurité Koi Security, le malware n’est pas chiffré ou obfusqué : il est littéralement invisible dans l’éditeur de code.

Une technique ancienne, mais utilisée de façon nouvelle

La technique n’est pas nouvelle : c’est une forme de stéganographie par espace blanc, où des caractères invisibles encodent des instructions binaires. Mais son application dans une campagne de grande ampleur visant la chaîne d’approvisionnement logicielle est inédite.

Les chercheurs s’interrogent : comment exactement les attaquants procèdent-ils ? Et cette technique est-elle déjà discutée sur les forums clandestins ?

Une recherche sur le dark web via la plateforme Flare montre que des acteurs malveillants commencent à évoquer cette méthode, notamment dans des campagnes de phishing sophistiquées comme celle du groupe Tycoon 2FA.

Les rapports de sécurité qui en parlent

Début 2025, Juniper Threat Labs documentait déjà une technique d’obfuscation JavaScript utilisant des caractères invisibles (projet « Invisible.js »). Le principe : un petit code « bootstrap » de 116 octets charge et décode un script caché dans des caractères Unicode spéciaux, puis l’exécute.

Ce mécanisme est similaire à celui employé par Glass Worm. Les attaquants utilisent notamment les plages de caractères dites Private Use Area (PUA) d’Unicode, qui ne sont pas affichés à l’écran.

Concrètement, une suite de caractères invisibles est interprétée comme une séquence binaire (0 et 1), puis transformée en code JavaScript exécutable.

Une menace qui s’étend

Depuis, plusieurs acteurs de la sécurité suivent cette menace :

  • Koi Security l’a baptisée « Glass Worm ».
  • Akamai a repéré des injections similaires dans des dépôts GitHub.
  • Secure Annex les a observées sur le marketplace Visual Studio.

La chronologie montre une accélération : repérage dans les packages npm en mars, puis dans GitHub en octobre, et enfin dans les extensions VS Code.

Les attaquants peuvent cacher ces caractères invisibles n’importe où : dans un fichier HTML, CSS, une licence, ou même au sein d’un code minifié déjà illisible. Tant que le petit « harness » de décodage est présent, le malware reste invisible jusqu’à son exécution.

Une technique aux implications larges

Cette méthode ne sert pas qu’aux malwares. Elle est aussi exploitée dans des campagnes de phishing par e-mail, où des caractères invisibles brisent les mots dans l’objet ou le corps du message, pour contourner les filtres anti-spam sans que l’utilisateur ne s’en aperçoive.

La leçon est claire : les menaces les plus sournoises exploitent souvent ce qui est invisible. Pour les développeurs et les entreprises, la vigilance passe désormais par des outils capables de détecter ces artefacts Unicode dans le code, les e-mails et les dépôts.

La simplicité de la technique (utiliser des caractères qui n’apparaissent pas) en fait une arme redoutable, d’autant plus qu’elle peut se cacher dans des endroits que personne n’a l’habitude d’inspecter.

Des possibilités d’infection multiples et discrètes

Les caractères invisibles peuvent être placés dans n’importe quel fichier texte, y compris ceux que personne n’ouvre jamais : un fichier de licence, une bibliothèque JavaScript minifiée comme jQuery, ou même un simple fichier de configuration. Le code malveillant reste caché jusqu’à ce qu’un petit programme « déclencheur » le charge et l’exécute.

Exemple concret : L’Internet Storm Center (SANS) a récemment documenté un e-mail de phishing utilisant des caractères invisibles dans son objet. Cela démontre que la technique dépasse le cadre du code source et s’étend aux vecteurs d’hameçonnage classiques.

Dans ces e-mails, des caractères Unicode invisibles sont insérés entre les mots de l’objet ou du corps. Pour l’utilisateur, le message semble normal. Mais pour les filtres anti-spam qui analysent les chaînes de caractères, le texte est fragmenté et peut échapper aux signatures de détection.

Comment contourner les filtres avec l’invisible

Un e-mail d’avertissement de « réinitialisation de mot de passe » pourrait avoir son objet cassé par des centaines de caractères de largeur nulle. Visuellement, tout paraît cohérent. Techniquement, la chaîne de caractères est méconnaissable pour un système automatisé, ce qui permet à l’e-mail d’atteindre la boîte de réception.

Le défi pour la sécurité : Il faut désormais surveiller non seulement le contenu visible, mais aussi les artefacts invisibles dans les e-mails, le code source, les fichiers de configuration et les dépôts. Des outils capables de révéler ces caractères spéciaux deviennent essentiels.

Une technique simple, une menace persistante

Le principe est finalement simple : un caractère invisible représente un 0 binaire, un autre représente un 1. Une longue suite de ces caractères forme, une fois décodée, des instructions exécutables. Cette stéganographie numérique rudimentaire s’avère d’une efficacité redoutable.

Les possibilités de dissimulation sont vastes :

  • Dans l’indentation d’un code Python ou JavaScript.
  • Au début ou à la fin d’un fichier.
  • Au sein de commentaires.
  • Dans des métadonnées ou des chaînes de caractères inoffensives.

Sans un éditeur de texte ou un outil de versioning (comme GitHub) qui signale la présence de caractères Unicode « bizarres », cette menace peut passer inaperçue indéfiniment.

Conclusion : la vigilance passe par les outils

Glass Worm et les techniques similaires rappellent que les attaques les plus efficaces exploitent souvent les angles morts de notre perception et de nos automatismes. Pour les développeurs et les équipes de sécurité, la réponse implique :

  1. D’adopter des éditeurs de code et des systèmes de contrôle de version qui mettent en évidence les caractères inhabituels.
  2. D’intégrer des scans spécifiques recherchant ces artefacts invisibles dans les pipelines CI/CD.
  3. De sensibiliser les équipes à cette menace sournoise, qui se cache littéralement là où on ne regarde pas.

La simplicité de la méthode (cacher du code dans ce qui n’est pas vu) en fait une tendance inquiétante dans le paysage des cybermenaces.

Références

Sources fiables

GlassWorm revient avec 24 extensions malveillantes sur les marchés VS Code

Auteur : Ravie LakshmananPublié le : 2 décembre 2025

Article de presse spécialisée détaillant la deuxième vague de la campagne GlassWorm, avec la liste complète des 24 extensions compromises identifiées sur le Microsoft Visual Studio Marketplace et Open VSX en décembre 2025.

GlassWorm : Le premier ver auto-propagé via les extensions VS Code

Auteur : Veracode Threat ResearchPublié en : 2025

Les attaques de la chaîne d’approvisionnement logicielle en 2025

Auteur : Joe AriganelloPublié en : 2025

Le ver « Shai-Hulud » compromet l’écosystème npm

Auteur : Unit 42 (Palo Alto Networks)Publié le : 25 novembre 2025

Rapport de recherche détaillé sur une campagne majeure de ver dans l’écosystème npm, antérieure et méthodologiquement similaire à GlassWorm.

Références de mon blog

Virus tenaces : comment les traquer et les éliminer vraiment de votre PC

Auteur : Moi-mêmePublié le : 20-11-2025

Un cheval de Troie vient de se dissimuler ou une charge utile vient de s’introduire dans votre système.

Liste des pires VPN : Les arnaques des VPN gratuits

Auteur : Des Geeks Et Des Lettres

VPN - Explorer Internet librement

Promo spéciale NordVPN : jusqu'à -74%
Sécurise tes connexions et navigue librement en quelques clics.

React à Shell : L’Exploit critique qui a failli mettre le feu à internet

Arnaques VPN gratuits : la liste noire des services à éviter absolument

Laisser un commentaire

Lancez votre recherche

Recherchez sur notre site

Nos réseaux sociaux

Nous rejoindre sur Facebook

Nous rejoindre sur X

⇒ Découvrez mon roman de Fantasy

L'Enfant-Romantique LINTULINDA - Un bébé doté du pouvoir de matérialiser ses émotions affronte cinq mages aux pouvoirs terrifiants. Entre dinosaures, métamorphoses et quête identitaire, plongez dans une fantasy unique où la magie naît du cœur.

♥ Formats EPUB + PDF inclus ♦ Compatible tous appareils • Livraison immédiate

© 2025 Des Geeks et des lettres

Qui sommes-nous Mentions légales Contact

Publicité & rémunération du site

  • En tant que Partenaire Amazon, je réalise un bénéfice sur les achats remplissant les conditions requises.
  • @Agréé Partenaire NordVPN. NordVPN et autres applications VPN ne sont destinées qu'à des usages légaux.