Checkpoint est un éditeur de solution firewall/next-gen/antivirus etc… donc son business c'est de faire peur pour que les gens achètent, gardons ça en tête.
On a donc un implant sous linux, réalisé professionnellement par un acteur chinois (ce sont les mots de checkpoint). Le truc a l'air bien conçu, il détecte les environnements cloud, il communique de façon stealth, etc… rien que de classique pour un implant. Checkpoint suit de près cet acteur, puisqu'il a accès à des versions de debug, des versions de développement, des correctifs etc…
Pour les questions soulevées: comment checkpoint a eu accès au panel d'admin? comment checkpoint a eu accès aux version successives? On sait pas.
Le doc indique un stage0 et un stage1 avant l'implant, sans jamais en parler? C'est surprenant.
Posté par Voltairine .
Évalué à 10 (+8/-0).
Dernière modification le 15 janvier 2026 à 12:00.
Le lien sur le stage1 est très parlant :
It arrived pre-packaged (or via a drive-by download) inside a specific, unofficial Docker image fork (21hsmw/flaresolverr) that I had installed to fix a driver bug.
J'installe n'importe quoi provenant de n'importe où et ma machine est vérolée. Rien de plus classique.
ouais, ceci dit, je regarde un peu par là, et ça me rassure pas.
je ne sais pas ce que fait flaresolverr mais apparemment il est cassé, et le mot d'ordre consiste à dire que le fork 21hsmw résoud le problème:
donc on a une bonne chaine d'infection, autrement dit, sapu. Et côte 21hsmw/flaresolverr https://github[.]com/21hsmw on a un seul repo, peu updaté. Faudrait regarder les commits qui ont été fait, ça donnerait une idée de la timeline pour l'infection.
Note: je ne m'appuye que sur la bonne foi du gars qui indique que l'infection vient de là dans son blog. Ca n'est peut-être pas le cas.
J'ai l'impression que ce sont les dockers qui doivent être traités avec prudence. Si on arrêtait avec les images sorties de n'importe où on sera déjà bien avancés je crois.
# ok
Posté par octane . Évalué à 10 (+12/-1).
Alors arstechnica c'est juste du blabla. La source la plus directe, c'est un blog de Checkpoint:
https://research.checkpoint.com/2026/voidlink-the-cloud-native-malware-framework/
Checkpoint est un éditeur de solution firewall/next-gen/antivirus etc… donc son business c'est de faire peur pour que les gens achètent, gardons ça en tête.
On a donc un implant sous linux, réalisé professionnellement par un acteur chinois (ce sont les mots de checkpoint). Le truc a l'air bien conçu, il détecte les environnements cloud, il communique de façon stealth, etc… rien que de classique pour un implant. Checkpoint suit de près cet acteur, puisqu'il a accès à des versions de debug, des versions de développement, des correctifs etc…
Pour les questions soulevées: comment checkpoint a eu accès au panel d'admin? comment checkpoint a eu accès aux version successives? On sait pas.
Le doc indique un stage0 et un stage1 avant l'implant, sans jamais en parler? C'est surprenant.
on trouve une mention du stage0 sur une sandbox, datant du 13 janvier: https://www.joesandbox.com/joereverser/analysis/download/50fc7ff6-2f3d-4d70-8120-312fb3ecb803?type=html
et du stage1 ici https://corelab.tech/hunting-voidlink-how-i-caught-a-supply-chain-attack-in-my-homelab/
==> conclusion, il faut courir dans tous les sens en levant les bras au ciel en disant omg omg omg, puis ensuite aller scanner toutes ses machines.
[^] # Re: ok
Posté par abriotde (site web personnel, Mastodon) . Évalué à 1 (+1/-2).
Ou pour plus de blabla : https://linux.developpez.com/actu/379229/VoidLink-un-framework-malveillant-Linux-jusqu-alors-inconnu-et-bien-plus-avance-que-la-plupart-des-maliciels-Linux-connus-il-est-concu-pour-permettre-un-acces-furtif-et-durable-aux-reseaux-compromis/
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
[^] # Re: ok
Posté par Voltairine . Évalué à 10 (+8/-0). Dernière modification le 15 janvier 2026 à 12:00.
Le lien sur le stage1 est très parlant :
J'installe n'importe quoi provenant de n'importe où et ma machine est vérolée. Rien de plus classique.
[^] # Re: ok
Posté par octane . Évalué à 4 (+2/-0).
ouais, ceci dit, je regarde un peu par là, et ça me rassure pas.
je ne sais pas ce que fait flaresolverr mais apparemment il est cassé, et le mot d'ordre consiste à dire que le fork 21hsmw résoud le problème:
donc on a une bonne chaine d'infection, autrement dit, sapu. Et côte 21hsmw/flaresolverr https://github[.]com/21hsmw on a un seul repo, peu updaté. Faudrait regarder les commits qui ont été fait, ça donnerait une idée de la timeline pour l'infection.
Note: je ne m'appuye que sur la bonne foi du gars qui indique que l'infection vient de là dans son blog. Ca n'est peut-être pas le cas.
[^] # Re: ok
Posté par octane . Évalué à 4 (+2/-0).
je vais retourner me coucher, je suis mal réveillé.
si on google le type à l'origine du blogpost, on tombe sur différents fils reddit, notamment:
https://www.reddit.com/r/AskNetsec/comments/1qd41kl/found_voidlink_maybe/
il dit bien qu'il ne sait pas trop, qu'il a dégagé le container, et que bon voilà, il pense que c'est voidlink, mais sans grandes preuves.
Bref, retournons dormir, pas d'inquiétude, dormez braves gens.
[^] # Re: ok
Posté par mousquetaire G2 . Évalué à 3 (+2/-0).
Salut,
J'ai l'impression que ce sont les dockers qui doivent être traités avec prudence. Si on arrêtait avec les images sorties de n'importe où on sera déjà bien avancés je crois.
[^] # Re: ok
Posté par mousquetaire G2 . Évalué à 1 (+0/-0).
Salut,
Je n'ai pas compris le début : finalement, Checkpoint c'est comme Kaspersky ou est-ce mieux ou pire ?
[^] # Re: ok
Posté par cg . Évalué à 4 (+2/-0).
Ils sont tous deux pires que l'autre.
[^] # Re: ok
Posté par Tonton Th (site web personnel, Mastodon) . Évalué à 2 (+0/-0).
Alors que McAfee Associates, il y a de quoi faire un bon film avec la vie tumultueuse de son patron.
[^] # Re: ok
Posté par octane . Évalué à 2 (+0/-0).
Je n'ai pas cité Kaspersky (??)
Ma remarque, c'est de dire qu'il faut soupeser avec prudence les allégations d'un vendeur de soupe quand il te dit que "la soupe c'est bon mangez-en".
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.