Je n'ai pas creusé mais encore une fois cela semble un article relayant des propose alarmistes tenus par une entreprise qui vend des solutions de sécurité / antivirus.
Et bien entendu, comme d'habitude, il n'y a aucune indication sur la manière dont ce « virus » peut s'installer(*) et se propager. D'ailleurs ils aveunt qu'il n'en savent strictement rien :
Another reason to worry is that Nextron isn’t sure how miscreants would install Plague.
--
(*) vu que c'est un module PAM, il faut être root, donc machine déjà compromise ou grosse boulette de l'adminsys.
qui indique que c'est un nouveau truc, non détecté par les antivirus (sur virustotal, le site qui regroupe pleins d'antivirus windows). Bon, c'est nouveau sur un système pas utilisé, aucun AV le détecte, rien d'étonnant.
Passons à l'analyse, alors oui, PAM est relativement central dans l'authent et ça en fait une cible de choix pour un attaquant. On a pas mal d'infos sur le fonctionnement interne de plague, le déchiffrement de chaines, l'obfuscation, etc… mais pas trop sur son installation; c'est un module PAM et c'est tout ce qu'on saura. Les samples sont en .so, donc on peut imaginer un chargement de bibliothèque lors de l'authent.
PAM fonctionne comme cela, cf (une partie du) fichier /etc/pam.d/login:
# Prints the message of the day upon successful login.
# (Replaces the `MOTD_FILE' option in login.defs)
# This includes a dynamically generated part from /run/motd.dynamic
# and a static (admin-editable) part from /etc/motd.
session optional pam_motd.so motd=/run/motd.dynamic
session optional pam_motd.so noupdate
Mais survient une question: normalement ces fichiers sont traqués par le gestionnaire paquets. Donc une modification de celui-ci (pour remplacer ou ajouter une bibliothèque) devrait se voir.
C'est en contradiction avec ce qui est dit:
Plague integrates deeply into the authentication stack, survives system updates, and leaves almost no forensic traces. Combined with layered obfuscation and environment tampering, this makes it exceptionally hard to detect using traditional tools.
genre le "traditional tool" apt ou rpm?
Pour l'instant, je m'inquiéterai pas trop en fait.
Ils disent qu'ils ont découvert un malware. Soit. Mais après ils disent qu'il n'y a aucune évidence que ce malware ait été déployée quelque part.
Du coup c'est quoi ce malware si il n'a pas été utilisé? Un truc qu'ils ont acheté sur un marché du dark web? Un truc qu'ils ont développés eux-même? Du vaporware? ils l'on trouvé sous le tapis en cherchant leur clés?
Virustotal, c'est un site sur lequel n'importe qui peut faire analyser un fichier par une soixantaine d'antivirus différents. Certains développeurs de malware ont tendance à tester leur derniers samples pour vérifier leur efficacité anti-antivirus.
Par un effet d'aubaine, pas mal de chercheurs en sécurité regardent les fichiers déposés sur virustotal pour avoir un panorama de la menace actuelle.
Bref, les gars ont trouvé un sample sur virustotal, mais n'ont aucune info sur une activité de celui-ci in-the-wild (comment le savent ils? on ne sait pas).
Mais comme ils vendent un antivirus (il semblerait), ça fait toujours de la bonne pub de signaler la "nouvelle menace-oulalala-qu'elle est grave celle-là, on va tous mourir", sauf que eux ils sont trop forts car eux, ils l'ont vu et leur mission consiste à informer le monde de cette menace.
Bref, beaucoup de bruit marketing, peu d'infos techniques.
# Titre trompeur ou ironique ?
Posté par Voltairine . Évalué à 3 (+1/-0).
Je n'ai pas creusé mais encore une fois cela semble un article relayant des propose alarmistes tenus par une entreprise qui vend des solutions de sécurité / antivirus.
Et bien entendu, comme d'habitude, il n'y a aucune indication sur la manière dont ce « virus » peut s'installer(*) et se propager. D'ailleurs ils aveunt qu'il n'en savent strictement rien :
--
(*) vu que c'est un module PAM, il faut être root, donc machine déjà compromise ou grosse boulette de l'adminsys.
# mouais
Posté par octane . Évalué à 5 (+3/-0). Dernière modification le 06 août 2025 à 12:05.
Alors revenons à la source:
https://www.nextron-systems.com/2025/08/01/plague-a-newly-discovered-pam-based-backdoor-for-linux/
qui indique que c'est un nouveau truc, non détecté par les antivirus (sur virustotal, le site qui regroupe pleins d'antivirus windows). Bon, c'est nouveau sur un système pas utilisé, aucun AV le détecte, rien d'étonnant.
Lisons un peu le site nextron-systems, ils ont découvert une autre backdoor PAM: https://www.nextron-systems.com/2025/05/30/stealth-in-100-lines-analyzing-pam-backdoors-in-linux/ mais apparemment ça a fait moins de bruit.
Passons à l'analyse, alors oui, PAM est relativement central dans l'authent et ça en fait une cible de choix pour un attaquant. On a pas mal d'infos sur le fonctionnement interne de plague, le déchiffrement de chaines, l'obfuscation, etc… mais pas trop sur son installation; c'est un module PAM et c'est tout ce qu'on saura. Les samples sont en .so, donc on peut imaginer un chargement de bibliothèque lors de l'authent.
PAM fonctionne comme cela, cf (une partie du) fichier /etc/pam.d/login:
Mais survient une question: normalement ces fichiers sont traqués par le gestionnaire paquets. Donc une modification de celui-ci (pour remplacer ou ajouter une bibliothèque) devrait se voir.
C'est en contradiction avec ce qui est dit:
Plague integrates deeply into the authentication stack, survives system updates, and leaves almost no forensic traces. Combined with layered obfuscation and environment tampering, this makes it exceptionally hard to detect using traditional tools.
genre le "traditional tool" apt ou rpm?
Pour l'instant, je m'inquiéterai pas trop en fait.
# déployé ou non
Posté par Psychofox (Mastodon) . Évalué à 4 (+1/-0).
Je ne comprends pas un truc:
Ils disent qu'ils ont découvert un malware. Soit. Mais après ils disent qu'il n'y a aucune évidence que ce malware ait été déployée quelque part.
Du coup c'est quoi ce malware si il n'a pas été utilisé? Un truc qu'ils ont acheté sur un marché du dark web? Un truc qu'ils ont développés eux-même? Du vaporware? ils l'on trouvé sous le tapis en cherchant leur clés?
[^] # Re: déployé ou non
Posté par octane . Évalué à 2 (+0/-0).
Ils l'ont trouvé sur virustotal.
Virustotal, c'est un site sur lequel n'importe qui peut faire analyser un fichier par une soixantaine d'antivirus différents. Certains développeurs de malware ont tendance à tester leur derniers samples pour vérifier leur efficacité anti-antivirus.
Par un effet d'aubaine, pas mal de chercheurs en sécurité regardent les fichiers déposés sur virustotal pour avoir un panorama de la menace actuelle.
Bref, les gars ont trouvé un sample sur virustotal, mais n'ont aucune info sur une activité de celui-ci in-the-wild (comment le savent ils? on ne sait pas).
Mais comme ils vendent un antivirus (il semblerait), ça fait toujours de la bonne pub de signaler la "nouvelle menace-oulalala-qu'elle est grave celle-là, on va tous mourir", sauf que eux ils sont trop forts car eux, ils l'ont vu et leur mission consiste à informer le monde de cette menace.
Bref, beaucoup de bruit marketing, peu d'infos techniques.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.