Des chercheurs en cybersécurité ont révélé les détails d’une nouvelle campagne d’attaque par déni de service distribué (DDoS) ciblant les notebooks Jupyter mal configurés.
L’activité, nom de code Panamarfi par la société de sécurité cloud Aqua, utilise un outil basé sur Java appelé exploitation minière pour lancer une attaque DDoS par inondation TCP. Mineping est un package DDoS conçu pour les serveurs de jeu Minecraft.
Les chaînes d’attaque impliquent l’exploitation d’instances Jupyter Notebook exposées à Internet pour exécuter des commandes wget permettant de récupérer une archive ZIP hébergée sur un site de partage de fichiers appelé Filebin.
Le fichier ZIP contient deux fichiers d’archive Java (JAR), conn.jar et mineping.jar, le premier étant utilisé pour établir des connexions à un canal Discord et déclencher l’exécution du package mineping.jar.
« Cette attaque vise à consommer les ressources du serveur cible en envoyant un grand nombre de requêtes de connexion TCP », explique Assaf Morag, chercheur chez Aqua. dit. « Les résultats sont écrits sur le canal Discord. »
La campagne d’attaque a été attribuée à un acteur malveillant connu sous le nom de yawixooodont le compte GitHub dispose d’un référentiel public contenant un fichier de propriétés du serveur Minecraft.
Ce n’est pas la première fois que des Jupyter Notebooks accessibles sur Internet sont ciblés par des adversaires. En octobre 2023, une menace tunisienne baptisée Qubitstrike a été observée en train de pirater des Jupyter Notebooks pour tenter d’exploiter illégalement des cryptomonnaies et de pénétrer dans des environnements cloud.