A-t-on trouvé le « premier malware ciblant spécifiquement Lambda » ? Tout du moins, le premier révélé au public, assure Cado Security. La start-up anglaise affirme qu’on lui doit cette découverte.
L’annonce intervient au moment où sa plate-forme de détection et de réponse aux menaces s’étend officiellement aux environnements serverless. Plus précisément ceux d’AWS : Fargate… et Lambda.
Concours de circonstances ou communication orchestrée ? C’est en tout cas l’occasion de se rappeler le « modèle de responsabilité partagée » en place sur Lambda. AWS sécurise l’environnement d’exécution, mais le client est responsable du code de ses fonctions comme de la gestion des identités et des accès.
Cado Security a donné au malware en question le nom de Denonia, en référence à l’une des URL qu’il tente de joindre. Le premier échantillon découvert* date de fin février 2022. Écrit en Go, il semble abriter une variante de XMRig (cryptomineur).
Comment Denonia est-il déployé ? Cado Security reconnaît l’ignorer. Quant à savoir s’il vise uniquement Lambda, là aussi, ce n’est pas certain. Plusieurs indices semblent toutefois confirmer qu’il s’agit au moins de sa cible principale. En tête de liste, un message d’erreur qui s’est affiché lors de l’analyse : le malware avait cessé de fonctionner à défaut de variables d’environnement Lambda.
Autres indicateurs : diverses bibliothèques embarquées. Permettant, entre autres, d’écrire des fonctions Lambda en Go et de retrouver des éléments contextuels dans des requêtes API.
Une autre bibliothèque a attiré l’attention. Elle implémente le protocole DoH, qui opère la résolution DNS sur HTTPS. Soit, dans le cas de Denonia, une façon de passer sous davantage de radars au moment de communiquer avec ses serveurs de commande et de contrôle.
* Les investigations ont mené à la découverte d’un autre échantillon, daté de janvier. Cado Security ne fait pas de commentaire à son propos.
Illustration principale © Murrstock – Adobe Stock
OpenAI orchestre un déploiement très progressif de GPT-4o, y compris de ses capacités multimodales.
Elon Musk avait racheté le nom de domaine X.com à PayPal en 2017. Depuis juillet 2023,…
Des centaines d'ingénieurs en IA et cloud travaillant pour Microsoft se voient proposer de quitter…
Reddit s'ajoute à la liste des « partenaires data » d'OpenAI. Qui rejoint-il ?
Younited a utilisé PaLM 2 puis Gemini pour catégoriser des transactions bancaires en vue de…
Les États-Unis vont tripler leur capacité nationale de fabrication de puces et contrôler 30 %…