Cela reste à vérifier. Je n’ai pas trouvé beaucoup de sources à part ceux qui semblent avoir découvert le pb, NETLAB. L’avenir le dira, mais peut-être des patchs sont à surveiller et appliquer. Faites-vous votre opinion.
01net :
Le malware adapte son comportement en fonction du type de compte compromis (root ou non). Il est capable d’analyser le terminal infecté, d’exfiltrer des données sensibles et d’exécuter des plugins. Ces derniers n’ont toutefois pas pu être décortiqués par les chercheurs. Par ailleurs, on ne sait pas encore quel est le mode de diffusion de ce code malveillant. Enfin, les chercheurs ont remarqué que le code avait des similitudes avec Torii, un botnet d’objets connectés assez sophistiqué détecté en 2018 par Avast. Beaucoup de questions restent donc encore ouvertes sur ce curieux malware.
Source d’origine expliquant la technique impliquée :
A suivre donc. Je peux me tromper, mais cela semble vraisemblable.
[EDIT 2021-05-01T12:26:43+0200]
Je crois comprendre que la chose est notamment logée dans SYSTEMD (systemd-daemon). Si tout est avéré, cela pourrait relancer la fameuse controverse sur les dangers de sécurité de systemd.
[/EDIT 2021-05-01T12:26:43+0200]