Linux

🗓️ Contexte Article publié le 23 avril 2026 par Sebastian Wick (mainteneur de Flatpak) sur son blog personnel. L’article constitue un post-mortem technique détaillé d’une vulnérabilité critique découverte dans Flatpak suite à un audit de sécurité réalisé par Codean Labs. 🔍 Problème fondamental L’article expose une classe de vulnérabilités liées à la gestion des chemins de fichiers dans les systèmes avec frontières de sécurité. Le problème central est que les chaînes de chemin (path strings) ne sont pas des références stables à des fichiers : entre le moment où un chemin est vérifié et celui où il est utilisé, le système de fichiers peut être modifié. Cette classe d’attaque est connue sous le nom de TOCTOU (Time-Of-Check to Time-Of-Use). ...

📅 Source : Blog officiel d’Objective Development (obdev.at), publié le 8 avril 2026 par Christian. 🔍 Contexte Face aux préoccupations croissantes sur la dépendance aux logiciels contrôlés par des entités étrangères, le développeur de Little Snitch (macOS) a exploré Linux comme alternative. Constatant l’absence d’outil équivalent à Little Snitch sur Linux, il a décidé de le construire. ⚙️ Architecture technique Interception du trafic : eBPF au niveau kernel (haute performance, portable) Backend : écrit en Rust Interface utilisateur : application web (permet la surveillance à distance depuis n’importe quel appareil) Compatibilité : développé sur Ubuntu 25.10 avec kernel 6.17, confirmé fonctionnel sur kernel 6.12+. Compatibilité théorique jusqu’au kernel 5.17 (introduction de bpf_loop()), couvrant Debian 12 et Ubuntu 24.04 LTS. 🔓 Modèle open source ...

🔍 Contexte Analyse publiée le 20 mars 2026 par Xavier Mertens (ISC SANS Handler) suite à la découverte d’un script Bash malveillant installant un backdoor basé sur GSocket/gs-netcat. Le vecteur de livraison initial est inconnu. Le sample a été identifié sur VirusTotal avec seulement 17 détections antivirus. 🛠️ Fonctionnement du malware GSocket est un outil réseau légitime permettant des communications pair-à-pair via un réseau de relais global, en utilisant un secret partagé plutôt que des adresses IP. L’outil gs-netcat est détourné ici pour fournir un shell distant et un canal C2. ...

Source : Black Hills Information Security (blog) — Dans un billet daté du 4 mars 2026, Ben Bowman présente une technique de persistance Linux exploitant le framework PAM et dévoile l’outil open source « PAM Skeleton Key » destiné aux tests d’intrusion (Red Team). L’auteur explique que PAM gère l’authentification pour des services comme SSHD, recevant les identifiants en clair pour appliquer des politiques définies (ex. /etc/pam.d/sshd). En substituant un module PAM par une version malveillante, il devient possible d’implanter un mot de passe universel (skeleton key) pour tous les comptes et de capturer les identifiants avant chiffrement, puis de les exfiltrer. ...

Dans une publication technique, l’auteur dissèque le module sysrq_hook.c du rootkit LKM Singularity (ciblant Linux 6.x) et montre comment il intercepte les routines de diagnostic du noyau — Magic SysRq et le chemin OOM — pour empêcher l’affichage de processus cachés directement dans le buffer de logs kernel. Le texte rappelle que Magic SysRq (par /proc/sysrq-trigger ou Alt+SysRq+<touche>) exécute des diagnostics entièrement côté noyau et écrit via printk() dans le ring buffer, échappant aux hooks usuels sur /proc ou getdents. Les commandes SysRq-T (état des tâches) et SysRq-F (chemin OOM) produisent des listes de processus directement depuis la mémoire kernel. Des rootkits LKM connus comme Kovid ou diamorphine, qui se contentent d’intercepter filldir*/getdents et parfois des lectures de dmesg, se font contourner: des PIDs « cachés » réapparaissent dans les sorties SysRq-T et OOM, car les données sont déjà imprimées dans le ring buffer avant toute filtration en espace utilisateur. ...

Selon une publication de recherche de Flare (février 2026), l’opération « SSHStalker » est un nouveau botnet Linux non documenté jusque‑là, qui privilégie une architecture C2 IRC résiliente et peu coûteuse, une automatisation de compromission SSH à grande échelle, et une persistance bruyante via cron. Malgré des capacités de DDoS et de cryptomining, les instances observées maintiennent un accès « dormant » sans monétisation immédiate. L’attaque s’appuie sur un binaire Golang se faisant passer pour « nmap » pour scanner l’SSH (port 22), puis enchaîne la staging/compilation locale (GCC) et l’enrôlement automatique sur des canaux IRC. Des bots C en variantes multiples (1.c, 2.c, a.c) rejoignent des serveurs comme gsm.ftp.sh et plm.ftp.sh (canaux #auto, #xx, clé IRC partagée), tandis qu’un bot Perl (UnrealIRCd) sert de relais C2 et d’outil DDoS. La persistance repose sur un cron chaque minute et un script update « watchdog » qui relance le bot si tué, assurant un retour en <60 s. ...

Selon un article publié le 14 janvier 2026, un framework malveillant avancé et cloud-native pour Linux nommé VoidLink a été découvert, orienté vers les environnements cloud modernes. Des chercheurs de Check Point ont identifié un nouveau framework malware cloud-native pour Linux, baptisé VoidLink, conçu spécifiquement pour les environnements cloud et conteneurisés modernes. VoidLink se distingue par : une architecture modulaire très avancée, une compatibilité native avec Docker et Kubernetes, l’intégration de loaders, implants, rootkits et plugins, et un fort accent mis sur la furtivité et l’évasion automatisée. Le framework est développé en Zig, Go et C, avec une documentation riche et une structure suggérant un produit commercial ou un framework sur mesure pour un client, plutôt qu’un malware opportuniste. Aucune infection active n’a été observée à ce stade. ...

Contexte: La NSA publie des orientations sur la gestion de Secure Boot pour Linux (information reprise dans l’article de Brittany Day, 31 déc. 2025 sur Linuxsecurity), soulignant le déplacement des attaques vers les phases les plus précoces du démarrage. Des incidents comme BootHole, BlackLotus et PKFail illustrent comment des configurations permissives, des clés réutilisées et des bootloaders vulnérables transforment Secure Boot en surface d’attaque. L’enjeu: imposer la confiance avant que l’OS et ses contrôles n’existent, sous peine de persistance profonde et d’invisibilité des bootkits. ...

Selon Phoronix (article de Michael Larabel), un chercheur en sécurité et son équipe ont relancé la discussion autour de leur LSM « TSEM » proposé il y a trois ans, qui n’a reçu que peu de revue et n’a pas été accepté dans le noyau. Ils demandent des orientations claires sur la manière d’introduire de nouveaux LSM et envisagent de porter le sujet devant le Technical Advisory Board (TAB) de la Linux Foundation si nécessaire. ...

Source et contexte — Trend Research (Trend Micro), billet de blog du 8 déc. 2025 : les chercheurs présentent GhostPenguin, un backdoor Linux inédit découvert via une pipeline de chasse aux menaces automatisée et dopée à l’IA, après analyse de samples à zéro détection sur VirusTotal. Découverte et méthode 🧠🤖 Collecte massive d’échantillons (notamment Linux) et extraction d’artefacts (strings, API, comportements, fonctions, constantes) dans une base structurée. Génération de règles YARA et requêtes VirusTotal pour traquer des échantillons zéro détection, profilage avec IDA Pro/Hex-Rays, CAPA, FLOSS, YARA. Agents IA « Quick Inspect » (scoring/tri) et « Deep Inspector » (rapport détaillé : résumé, capacités, flux d’exécution, analyse technique, mapping MITRE ATT&CK). Le sample nommé « GhostPenguin » a été soumis le 7 juil. 2025 et est resté sans détection plus de quatre mois. Capacités et architecture du malware 🐧 ...