Longtemps perçus comme plus sûrs que Windows, les systèmes GNU/Linux sont aujourd’hui dans le viseur de nouvelles menaces redoutablement furtives. Deux malwares en particulier, PSA Stealer et Plague, inquiètent les chercheurs en sécurité par leur capacité à passer sous les radars des antivirus et à s’infiltrer profondément dans les serveurs et infrastructures critiques.
Selon un rapport conjoint de SentinelLabs et Beazley Security, PSA Stealer a déjà infecté plus de 4 000 machines dans 62 pays. Écrit en Python, ce voleur d’informations s’attaque à une quarantaine de navigateurs, siphonnant mots de passe, cookies, données de saisie automatique et jetons d’authentification. Il cible aussi les portefeuilles de cryptomonnaies comme Exodus, Magic Eden ou Crypto.com, ainsi que des plateformes financières telles que Coinbase, Kraken et PayPal. Les données volées — plus de 200 000 identifiants et centaines de cartes bancaires — sont revendues sur des marchés clandestins hébergés sur Telegram.
Apparu fin 2024, PSA Stealer a évolué en une opération multi-étapes et hautement évasive, utilisant des campagnes de phishing et des pages piégées contenant des logiciels légitimes associés à des DLL infectées. Les victimes se concentrent principalement en Corée du Sud, aux États-Unis, aux Pays-Bas, en Hongrie et en Autriche.
Encore plus inquiétant, la porte dérobée Plague est restée indétectée par l’ensemble des principaux moteurs antivirus malgré la présence d’échantillons sur VirusTotal depuis juillet 2024. Découvert par Pierre-Henri Pezier de Nextron Systems, Plague prend la forme d’un module PAM malveillant qui permet de contourner l’authentification système et de maintenir un accès SSH persistant. Il s’intègre profondément dans la pile d’authentification, survit aux mises à jour et efface toute trace forensique, allant jusqu’à nettoyer les variables SSH et détourner l’historique des commandes.
Pour rester invisible, Plague utilise un chiffrement XOR, des algorithmes personnalisés, des techniques anti-débogage, et se fait passer pour des bibliothèques système légitimes comme libselinux.so.8. Des mots de passe codés en dur, tel que Mvi4Odm6tld7, permettent aux attaquants de se connecter sans déclencher d’alertes.
Comme le souligne GBHackers, ces deux menaces représentent un risque majeur pour les environnements Linux critiques, qu’il s’agisse de serveurs de rebond, d’hôtes bastions ou d’infrastructures cloud. Un seul serveur compromis peut offrir aux cybercriminels un accès transversal à de multiples systèmes ou machines virtuelles.
L’émergence simultanée de PSA Stealer et Plague rappelle que la sécurité des systèmes Linux n’est pas acquise par défaut. Les administrateurs doivent redoubler de vigilance, surveiller les charges inhabituelles sur leurs serveurs et renforcer la supervision des modules PAM, tout en se tenant informés des menaces émergentes.
