En bref

  • GlassWorm intègre désormais la blockchain Solana comme infrastructure de command & control, rendant le blocage de son RAT quasi impossible par les outils traditionnels.
  • Les développeurs utilisant npm, PyPI, GitHub et l'écosystème MCP sont ciblés via des packages malveillants usurpant l'identité d'outils légitimes.
  • Une fausse extension Chrome injectée sur les machines compromises exfiltre cookies, historique, frappes clavier et données crypto vers les attaquants.

Une infrastructure C2 inédite basée sur la blockchain Solana

La campagne GlassWorm, déjà documentée pour ses attaques via des extensions VSCode malveillantes — analysées dans notre article GlassWorm piège 72 extensions VSCode pour voler des secrets —, franchit un nouveau cap selon les chercheurs de The Hacker News et Malwarebytes. La nouveauté documentée le 25 mars 2026 réside dans le mécanisme de command & control (C2) : plutôt que d'utiliser des adresses IP codées en dur, facilement bloquées par les pare-feu et les solutions EDR, GlassWorm effectue d'abord une recherche dans la table de hachage distribuée (DHT) via une clé publique épinglée. En cas d'échec, le RAT interroge la blockchain Solana pour récupérer dynamiquement une nouvelle adresse IP de serveur C2. Concrètement, le malware lit les champs memo de transactions récentes associées à un wallet Solana contrôlé par les attaquants. Entre le 27 novembre 2025 et le 13 mars 2026, les chercheurs ont documenté au moins 50 transactions mettant à jour les URLs de payload via ce canal. Cette technique — dite dead drop blockchain — est particulièrement redoutable car elle supprime tout point de blocage unique. Aucun domaine à blacklister, aucune IP à filtrer : l'infrastructure vit sur un registre décentralisé et immuable, accessible de partout et impossible à démanteler par les méthodes classiques. Le RAT est par ailleurs capable de contourner les protections App-Bound Encryption (ABE) de Chrome pour voler les cookies de session chiffrés, et vole les données de plusieurs navigateurs : Chrome, Edge, Brave, Opera, Vivaldi et Firefox.

La supply chain npm, PyPI et MCP comme vecteur d'entrée

Le vecteur d'infection initial reste la supply chain des dépôts de packages open source. Les opérateurs publient des packages malveillants sur npm, PyPI, GitHub et le marketplace Open VSX, ou compromettent les comptes de mainteneurs de projets populaires pour y injecter des mises à jour empoisonnées. Entre janvier et mars 2026, GlassWorm a compromis plus de 433 composants à travers ces plateformes. Cette technique — déjà exploitée par TeamPCP dans la campagne analysée dans notre article LiteLLM piraté : TeamPCP étend sa campagne à PyPI et documentée dans l'affaire PhantomRaven ciblant les secrets CI/CD — cible en priorité les développeurs, dont les machines sont directement connectées aux pipelines CI/CD et aux environnements de production. Une fois installé, GlassWorm déploie une fausse extension Chrome présentée comme une version hors-ligne de Google Docs. Elle vole les cookies de session, le contenu du localStorage, l'historique de navigation jusqu'à 5 000 entrées, enregistre toutes les frappes clavier et le contenu du presse-papiers, prend des captures d'écran à la demande, et collecte les données de wallets crypto présents sur la machine.

Premier ciblage de l'écosystème MCP : une frontière franchie

La dernière évolution de GlassWorm inquiète particulièrement la communauté sécurité : les opérateurs publient désormais des packages npm usurpant l'identité du serveur WaterCrawl Model Context Protocol (MCP). Le protocole MCP est devenu le standard de facto pour connecter des agents IA à des outils et services externes — bases de données, APIs, systèmes de fichiers. C'est la première intrusion confirmée de GlassWorm dans cet écosystème. Les conséquences potentielles dépassent le simple vol de données : un agent IA compromis via un serveur MCP malveillant peut devenir un vecteur d'exfiltration silencieux dans des environnements d'automatisation entiers. Les organisations déployant des agents IA en production — comme ceux intégrés dans le cadre décrit par le NVIDIA Agent Toolkit pour l'IA autonome en entreprise — doivent vérifier l'intégrité de leurs dépendances MCP en priorité.

Ce qu'il faut retenir

  • Auditer immédiatement toutes les dépendances npm, PyPI et MCP des projets actifs, en priorité celles récemment mises à jour ou issues de mainteneurs peu connus.
  • Bloquer les requêtes non autorisées vers la blockchain Solana depuis les postes de développeurs et les environnements CI/CD — c'est le nouveau canal C2 à surveiller.
  • Vérifier les extensions Chrome installées sur les postes des équipes dev, en particulier celles présentées comme des outils de productivité hors-ligne.

Comment la blockchain Solana peut-elle servir d'infrastructure C2 pour un malware ?

Les attaquants inscrivent l'adresse IP de leur serveur de commande dans le champ memo d'une transaction sur la blockchain Solana. Le malware installé sur la machine victime lit cette transaction pour récupérer dynamiquement l'adresse à jour. Comme la blockchain est décentralisée et immuable, il est impossible de supprimer cette donnée ou de bloquer un domaine central. Les attaquants peuvent mettre à jour l'adresse C2 aussi souvent que nécessaire, sans que les défenseurs puissent interférer via les méthodes classiques de blocage DNS ou IP.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact