LinkPro : un rootkit eBPF cible Linux via l’exploitation de Jenkins et se propage sur EKS
Selon Synacktiv (analyse CSIRT), LinkPro a été découvert lors d’une investigation d’une compromission d’infrastructures AWS. L’étude fournit une analyse technique détaillée d’un rootkit eBPF sophistiqué ciblant Linux, ses vecteurs d’infection, ses modules, ses capacités C2, ainsi que des IOCs et des règles YARA. • Chaîne d’attaque et contexte: exploitation de Jenkins CVE-2024-23897 entraînant le déploiement d’images Docker malveillantes à travers des clusters EKS (Kubernetes sur AWS). • Composants: malware en Golang embarquant quatre modules ELF: une bibliothèque partagée (libld.so), un module noyau (arp_diag.ko), et deux programmes eBPF dédiés à la dissimulation et à l’activation réseau. ...