Le malware GlassWorm détourne les jetons GitHub pour une attaque sur l

SÉVÉRITÉÉlevé

EXPLOITExploit Actif

CORRECTIFNon Disponible

ÉDITEURGitHub

AFFECTÉSPython repositories, Django ap...

CATÉGORIELogiciel malveillant

Points Clés

Menace : Campagne de malware GlassWorm ciblant les dépôts Python
Méthode : Jetons GitHub volés utilisés pour injecter du code obfusqué
Cibles : Applications Django, code de recherche ML, tableaux de bord Streamlit, packages PyPI
Impact : Des centaines de projets Python compromis

La campagne GlassWorm compromet la chaîne d'approvisionnement du développement Python

Les chercheurs en sécurité de StepSecurity ont découvert une campagne de logiciels malveillants active le 16 mars 2026, où des attaquants exploitent des jetons d'authentification GitHub volés pour injecter du code malveillant dans des dépôts Python. Le malware GlassWorm cible spécifiquement les frameworks Python populaires et les projets d'apprentissage automatique.

Les attaquants ajoutent du code malveillant obfusqué à des fichiers Python critiques, y compris setup.py, main.py, et app.py. Cette méthode d'attaque de la chaîne d'approvisionnement permet au malware de s'exécuter chaque fois que les développeurs ou les utilisateurs exécutent le code compromis.

Développeurs Python et chercheurs en ML à risque

La campagne affecte principalement les développeurs Python travaillant avec des applications web Django, des projets de recherche en apprentissage automatique, des applications de tableau de bord Streamlit, et des mainteneurs de paquets PyPI. Des centaines de dépôts ont été compromis, mettant en danger à la fois les développeurs individuels et les organisations.

Tout développeur qui télécharge, clone ou exécute du code à partir des dépôts affectés pourrait exécuter à son insu le malware GlassWorm sur ses systèmes.

Le vol de jetons GitHub permet l'empoisonnement des dépôts

Les attaquants ont obtenu un accès non autorisé aux dépôts GitHub en volant des jetons d'authentification, probablement par vol d'identifiants ou attaques d'ingénierie sociale. Une fois à l'intérieur, ils modifient systématiquement les fichiers Python pour inclure leur charge utile malveillante sans alerter les propriétaires des dépôts.

Les développeurs devraient immédiatement auditer leurs projets Python pour détecter des changements de code inattendus et revoir la sécurité de leurs jetons GitHub. Les organisations devraient surveiller leurs dépôts pour des commits non autorisés et mettre en œuvre les lignes directrices de sécurité de la CISA pour la protection de la chaîne d'approvisionnement.

Questions Fréquentes

Comment le malware GlassWorm infecte-t-il les dépôts Python ?+

GlassWorm utilise des jetons d'authentification GitHub volés pour accéder sans autorisation à des dépôts Python. Les attaquants injectent ensuite du code malveillant obfusqué dans des fichiers critiques tels que setup.py, main.py et app.py.

Quels projets Python sont ciblés par GlassWorm ?+

Le logiciel malveillant cible spécifiquement les applications web Django, le code de recherche en apprentissage automatique, les tableaux de bord Streamlit et les packages PyPI. Des centaines de dépôts dans ces catégories ont été compromis.

Comment les développeurs peuvent-ils se protéger contre les attaques de la chaîne d'approvisionnement GlassWorm ?+

Les développeurs doivent auditer leurs projets Python pour détecter des modifications de code inattendues, examiner la sécurité des jetons GitHub et surveiller les dépôts pour des commits non autorisés. Les organisations doivent mettre en œuvre des directives de sécurité de la chaîne d'approvisionnement et des processus de révision de code.

À propos de l'auteur

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.