Je n'ai pas creusé mais encore une fois cela semble un article relayant des propose alarmistes tenus par une entreprise qui vend des solutions de sécurité / antivirus.
Et bien entendu, comme d'habitude, il n'y a aucune indication sur la manière dont ce « virus » peut s'installer(*) et se propager. D'ailleurs ils aveunt qu'il n'en savent strictement rien :
Another reason to worry is that Nextron isn’t sure how miscreants would install Plague.
--
(*) vu que c'est un module PAM, il faut être root, donc machine déjà compromise ou grosse boulette de l'adminsys.
Posté par jseb .
Évalué à 2 (+0/-0).
Dernière modification le 06 août 2025 à 17:16.
Je suis d'accord avec le début.
Pour la partie « comment ça s'installe et ça se propage » : surement par des paquets « utilisateurs » pourris (AUR pour archlinux). Il n'y a qu'à remplacer une lib par une autre à l'install.
Ça serait plus compliqué avec des paquets officiels. Est-ce impossible ? L'histoire montre qu'avec un peu de patience et de confiance mal placée, tout est possible.
EDIT: il est vrai que la modification d'un fichier appartenant à un autre package va être signalé lors de la prochaine mise à jour de l'autre package. PAM est souvent mis à jour ?
Discussions en français sur la création de jeux videos : IRC libera / #gamedev-fr
Posté par Voltairine .
Évalué à 3 (+1/-0).
Dernière modification le 06 août 2025 à 17:34.
Je n'ai pas dit que c'était impossible ;)
Pour les paquets utilisateurs il faudrait un paquet qui installe un module PAM qui n'est pas dans les dépôts officiels soit qu'il propose une version plus récente que les paquets officiels. Par contre un paquet qui tenterait de remplacer un fichier issu d'un autre paquet générera une erreur avec un bon gestionnaire de paquet (APT par exedmple).
Quoiqu'il en soit cela entre dans la catégorie grosse bourde de l’administrateur du système.
De mémoire PAM reçoit parfois des mises à jour de sécurité mais c'est assez rare.
qui indique que c'est un nouveau truc, non détecté par les antivirus (sur virustotal, le site qui regroupe pleins d'antivirus windows). Bon, c'est nouveau sur un système pas utilisé, aucun AV le détecte, rien d'étonnant.
Passons à l'analyse, alors oui, PAM est relativement central dans l'authent et ça en fait une cible de choix pour un attaquant. On a pas mal d'infos sur le fonctionnement interne de plague, le déchiffrement de chaines, l'obfuscation, etc… mais pas trop sur son installation; c'est un module PAM et c'est tout ce qu'on saura. Les samples sont en .so, donc on peut imaginer un chargement de bibliothèque lors de l'authent.
PAM fonctionne comme cela, cf (une partie du) fichier /etc/pam.d/login:
# Prints the message of the day upon successful login.
# (Replaces the `MOTD_FILE' option in login.defs)
# This includes a dynamically generated part from /run/motd.dynamic
# and a static (admin-editable) part from /etc/motd.
session optional pam_motd.so motd=/run/motd.dynamic
session optional pam_motd.so noupdate
Mais survient une question: normalement ces fichiers sont traqués par le gestionnaire paquets. Donc une modification de celui-ci (pour remplacer ou ajouter une bibliothèque) devrait se voir.
C'est en contradiction avec ce qui est dit:
Plague integrates deeply into the authentication stack, survives system updates, and leaves almost no forensic traces. Combined with layered obfuscation and environment tampering, this makes it exceptionally hard to detect using traditional tools.
genre le "traditional tool" apt ou rpm?
Pour l'instant, je m'inquiéterai pas trop en fait.
Posté par bubar🦥 .
Évalué à 5 (+2/-0).
Dernière modification le 08 août 2025 à 07:57.
Mais survient une question: normalement ces fichiers sont traqués par le gestionnaire paquets. Donc une modification de celui-ci (pour remplacer ou ajouter une bibliothèque) devrait se voir.
Ce n'est pas un problème, PAM intègre la possibilité d'utilisation de bibliothèques externes complémentaires, c'est tricky et la doc est sybiline (et je l'ai déjà utilisée pour faire mon propre .so 'module' pam dans un cadre boulot) ; il n'y a plus qu'à lui donner un nom bateau et le fourrer / le faire appeler dans le bon fichier de conf au bon endroit pour qu'il soit utilisé convenablement au bon moment. Donc nul besoin de changer l'existant, qui effectivement serait remplacé/écrasé facilement, seulement les fichiers de conf.
Ils disent qu'ils ont découvert un malware. Soit. Mais après ils disent qu'il n'y a aucune évidence que ce malware ait été déployée quelque part.
Du coup c'est quoi ce malware si il n'a pas été utilisé? Un truc qu'ils ont acheté sur un marché du dark web? Un truc qu'ils ont développés eux-même? Du vaporware? ils l'on trouvé sous le tapis en cherchant leur clés?
Virustotal, c'est un site sur lequel n'importe qui peut faire analyser un fichier par une soixantaine d'antivirus différents. Certains développeurs de malware ont tendance à tester leur derniers samples pour vérifier leur efficacité anti-antivirus.
Par un effet d'aubaine, pas mal de chercheurs en sécurité regardent les fichiers déposés sur virustotal pour avoir un panorama de la menace actuelle.
Bref, les gars ont trouvé un sample sur virustotal, mais n'ont aucune info sur une activité de celui-ci in-the-wild (comment le savent ils? on ne sait pas).
Mais comme ils vendent un antivirus (il semblerait), ça fait toujours de la bonne pub de signaler la "nouvelle menace-oulalala-qu'elle est grave celle-là, on va tous mourir", sauf que eux ils sont trop forts car eux, ils l'ont vu et leur mission consiste à informer le monde de cette menace.
Bref, beaucoup de bruit marketing, peu d'infos techniques.
Ça me rappelle que pendant la formation CEH, on était amené à modifier des charges avec Metasploit, et on les mettait sur Virus Total, pour évaluer quelles modifs permettent de gruger un max d'anti-virus. C'était vite fait mais assez efficace.
Le truc qu'ils ont trouvé semble être d'un autre genre, mais sait-on jamais, c'est ptet juste un gabarit ou un brouillon :).
En dehors de l'effet waouh du communiqué, la partie pertinente est de voir qu'il y a des virus un tantinet sophistiqués qui ciblent Linux.
Entre les instructions type curl https://blabla/installer.sh | bash, les repos npm/aur/que-sais-je et les confs sudo qui donnent le shell root sans mot de passe, y'a quand même de sacrées opportunités pour installer des trucs malveillants sur un Linux lambda.
Quand la population d'utilisateurs et utilisatrices est constituées de personnes formées ou au moins informées de comment maintenir un ordi, ça se passe plutôt bien.
Quand la population devient plus grand public (et c'est ce qu'il se passe avec Linux), les erreurs mineures s'accumulent, et la barre pour pouvoir infecter un Linux baisse.
# Titre trompeur ou ironique ?
Posté par Voltairine . Évalué à 8 (+6/-0).
Je n'ai pas creusé mais encore une fois cela semble un article relayant des propose alarmistes tenus par une entreprise qui vend des solutions de sécurité / antivirus.
Et bien entendu, comme d'habitude, il n'y a aucune indication sur la manière dont ce « virus » peut s'installer(*) et se propager. D'ailleurs ils aveunt qu'il n'en savent strictement rien :
--
(*) vu que c'est un module PAM, il faut être root, donc machine déjà compromise ou grosse boulette de l'adminsys.
[^] # Re: Titre trompeur ou ironique ?
Posté par jseb . Évalué à 2 (+0/-0). Dernière modification le 06 août 2025 à 17:16.
Je suis d'accord avec le début.
Pour la partie « comment ça s'installe et ça se propage » : surement par des paquets « utilisateurs » pourris (AUR pour archlinux). Il n'y a qu'à remplacer une lib par une autre à l'install.
Ça serait plus compliqué avec des paquets officiels. Est-ce impossible ? L'histoire montre qu'avec un peu de patience et de confiance mal placée, tout est possible.
EDIT: il est vrai que la modification d'un fichier appartenant à un autre package va être signalé lors de la prochaine mise à jour de l'autre package. PAM est souvent mis à jour ?
Discussions en français sur la création de jeux videos : IRC libera / #gamedev-fr
[^] # Re: Titre trompeur ou ironique ?
Posté par Voltairine . Évalué à 3 (+1/-0). Dernière modification le 06 août 2025 à 17:34.
Je n'ai pas dit que c'était impossible ;)
Pour les paquets utilisateurs il faudrait un paquet qui installe un module PAM qui n'est pas dans les dépôts officiels soit qu'il propose une version plus récente que les paquets officiels. Par contre un paquet qui tenterait de remplacer un fichier issu d'un autre paquet générera une erreur avec un bon gestionnaire de paquet (APT par exedmple).
Quoiqu'il en soit cela entre dans la catégorie grosse bourde de l’administrateur du système.
De mémoire PAM reçoit parfois des mises à jour de sécurité mais c'est assez rare.
# mouais
Posté par octane . Évalué à 8 (+6/-0). Dernière modification le 06 août 2025 à 12:05.
Alors revenons à la source:
https://www.nextron-systems.com/2025/08/01/plague-a-newly-discovered-pam-based-backdoor-for-linux/
qui indique que c'est un nouveau truc, non détecté par les antivirus (sur virustotal, le site qui regroupe pleins d'antivirus windows). Bon, c'est nouveau sur un système pas utilisé, aucun AV le détecte, rien d'étonnant.
Lisons un peu le site nextron-systems, ils ont découvert une autre backdoor PAM: https://www.nextron-systems.com/2025/05/30/stealth-in-100-lines-analyzing-pam-backdoors-in-linux/ mais apparemment ça a fait moins de bruit.
Passons à l'analyse, alors oui, PAM est relativement central dans l'authent et ça en fait une cible de choix pour un attaquant. On a pas mal d'infos sur le fonctionnement interne de plague, le déchiffrement de chaines, l'obfuscation, etc… mais pas trop sur son installation; c'est un module PAM et c'est tout ce qu'on saura. Les samples sont en .so, donc on peut imaginer un chargement de bibliothèque lors de l'authent.
PAM fonctionne comme cela, cf (une partie du) fichier /etc/pam.d/login:
Mais survient une question: normalement ces fichiers sont traqués par le gestionnaire paquets. Donc une modification de celui-ci (pour remplacer ou ajouter une bibliothèque) devrait se voir.
C'est en contradiction avec ce qui est dit:
Plague integrates deeply into the authentication stack, survives system updates, and leaves almost no forensic traces. Combined with layered obfuscation and environment tampering, this makes it exceptionally hard to detect using traditional tools.
genre le "traditional tool" apt ou rpm?
Pour l'instant, je m'inquiéterai pas trop en fait.
[^] # Re: mouais
Posté par bubar🦥 . Évalué à 5 (+2/-0). Dernière modification le 08 août 2025 à 07:57.
Ce n'est pas un problème, PAM intègre la possibilité d'utilisation de bibliothèques externes complémentaires, c'est tricky et la doc est sybiline (et je l'ai déjà utilisée pour faire mon propre .so 'module' pam dans un cadre boulot) ; il n'y a plus qu'à lui donner un nom bateau et le fourrer / le faire appeler dans le bon fichier de conf au bon endroit pour qu'il soit utilisé convenablement au bon moment. Donc nul besoin de changer l'existant, qui effectivement serait remplacé/écrasé facilement, seulement les fichiers de conf.
# déployé ou non
Posté par Psychofox (Mastodon) . Évalué à 7 (+4/-0).
Je ne comprends pas un truc:
Ils disent qu'ils ont découvert un malware. Soit. Mais après ils disent qu'il n'y a aucune évidence que ce malware ait été déployée quelque part.
Du coup c'est quoi ce malware si il n'a pas été utilisé? Un truc qu'ils ont acheté sur un marché du dark web? Un truc qu'ils ont développés eux-même? Du vaporware? ils l'on trouvé sous le tapis en cherchant leur clés?
[^] # Re: déployé ou non
Posté par octane . Évalué à 9 (+7/-0).
Ils l'ont trouvé sur virustotal.
Virustotal, c'est un site sur lequel n'importe qui peut faire analyser un fichier par une soixantaine d'antivirus différents. Certains développeurs de malware ont tendance à tester leur derniers samples pour vérifier leur efficacité anti-antivirus.
Par un effet d'aubaine, pas mal de chercheurs en sécurité regardent les fichiers déposés sur virustotal pour avoir un panorama de la menace actuelle.
Bref, les gars ont trouvé un sample sur virustotal, mais n'ont aucune info sur une activité de celui-ci in-the-wild (comment le savent ils? on ne sait pas).
Mais comme ils vendent un antivirus (il semblerait), ça fait toujours de la bonne pub de signaler la "nouvelle menace-oulalala-qu'elle est grave celle-là, on va tous mourir", sauf que eux ils sont trop forts car eux, ils l'ont vu et leur mission consiste à informer le monde de cette menace.
Bref, beaucoup de bruit marketing, peu d'infos techniques.
[^] # Re: déployé ou non
Posté par cg . Évalué à 3 (+1/-0).
Ça me rappelle que pendant la formation CEH, on était amené à modifier des charges avec Metasploit, et on les mettait sur Virus Total, pour évaluer quelles modifs permettent de gruger un max d'anti-virus. C'était vite fait mais assez efficace.
Le truc qu'ils ont trouvé semble être d'un autre genre, mais sait-on jamais, c'est ptet juste un gabarit ou un brouillon :).
# Oui
Posté par cg . Évalué à 5 (+3/-0).
En dehors de l'effet waouh du communiqué, la partie pertinente est de voir qu'il y a des virus un tantinet sophistiqués qui ciblent Linux.
Entre les instructions type
curl https://blabla/installer.sh | bash
, les repos npm/aur/que-sais-je et les confs sudo qui donnent le shell root sans mot de passe, y'a quand même de sacrées opportunités pour installer des trucs malveillants sur un Linux lambda.Quand la population d'utilisateurs et utilisatrices est constituées de personnes formées ou au moins informées de comment maintenir un ordi, ça se passe plutôt bien.
Quand la population devient plus grand public (et c'est ce qu'il se passe avec Linux), les erreurs mineures s'accumulent, et la barre pour pouvoir infecter un Linux baisse.
C'est la rançon du succès :).
[^] # Re: Oui
Posté par Psychofox (Mastodon) . Évalué à 6 (+3/-0).
Sans compter les jeux installés via Steam, les flatpak aux autorisations très généreuses, les appimage.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.