Les chercheurs en cybersécurité tirent la sonnette d’alarme : une nouvelle campagne de malwares cible les systèmes Linux en exploitant un vecteur totalement inattendu… le nom de fichier d’une archive RAR. Selon l’information publiée par Trellix, il suffit d’ouvrir l’archive infectée pour déclencher le téléchargement et l’exécution d’un cheval de Troie baptisé VShell, sans aucune action supplémentaire de l’utilisateur.
La réponse à la question est donc claire : oui, ouvrir une archive RAR peut suffire à compromettre un système Linux.
Comme le souligne GBHackers, l’attaque détourne une particularité du shell Bash : la possibilité d’exécuter automatiquement des commandes grâce à la syntaxe d’expansion de processus. Les attaquants insèrent des instructions encodées en base64 directement dans le nom du fichier compressé. Une fois l’archive extraite, un simple script d’administration qui parcourt le répertoire peut déclencher l’exécution de la charge malveillante. Selon Cyberpress, cette technique contourne les antivirus, qui inspectent rarement les noms de fichiers, et échappe aux solutions de détection comportementale.
Le malware VShell téléchargé par cette méthode fonctionne entièrement en mémoire et se fait passer pour des processus système légitimes comme [kworker/0:2]. Développé en Go, il offre aux attaquants des capacités complètes d’accès à distance : shells inversés, gestion de fichiers, contrôle des processus et communication chiffrée avec un serveur de commande. D’après The Hacker News, ce cheval de Troie est déjà utilisé par des groupes APT chinois et s’inscrit dans la famille de malwares Snowlight, connue pour ses opérations furtives et persistantes.
Cette campagne met en lumière une faiblesse structurelle : la flexibilité de Linux, atout majeur de l’open source, peut se transformer en vulnérabilité lorsqu’elle est exploitée de manière malveillante. Les experts recommandent d’appliquer une stricte désinfection des noms de fichiers, de bannir les appels eval dans les scripts d’administration et de surveiller les requêtes réseau suspectes issues des répertoires temporaires.
Face à cette menace, il est désormais évident qu’un geste aussi banal qu’extraire une archive peut suffire à infecter un serveur Linux. Une alerte qui rappelle l’importance de ne jamais baisser la garde, même dans un écosystème réputé plus sûr que les solutions propriétaires.
