D'après une nouvelle étude de Check Point, les bases de données de projets de cryptomonnaies et de blockchain dotées d'dentfaibles et générées par l'IA sont piratées via des schémas de déploiement repérés par les botnets.
Un botnet malveillant nommé GoBruteforcer est capable de compromettre des serveurs Linux et de les transformer en nœuds automatisés de craquage de mots de passe, a déclaré une entreprise de cybersécurité. Ce programme de piratage a affecté l'infrastructure utilisée par des projets de cryptomonnaies, notamment des serveurs de bases de données, des services de transfert de fichiers et des panneaux d'administration web.
GoBrut peut analyser Internet à la recherche de services mal sécurisés et tenter de s'y connecter en utilisant des identifiants courants et des mots de passe faibles. Une fois un système compromis, il est ajouté à un réseau distribué accessible à distance par un réseau de pirates informatiques.
Le botnet GoBruteforcer peut pirater des mots de passe vaguement conçus
D'après un rapport de Check Point publié mercredi dernier, le botnet parvient à contourner les protections de services tels que FTP, MySQL, PostgreSQL et phpMyAdmin. Ces programmes sont utilisés par les startups blockchain et les développeurs d'applications décentralisées pour gérer les données utilisateur, la logique applicative et les tableaux de bord internes.
Les systèmes piratés par GoBrute peuvent recevoir des commandes d'un serveur de commande et de contrôle, qui indique le service à attaquer et fournit les identifiantsdentaux attaques par force brute. Ces identifiants sont ensuite réutilisés pour accéder à d'autres systèmes, voler des données privées, créer des comptes cachés et étendre la portée du botnet.
Check Point a également mentionné que les hôtes infectés peuvent également être réutilisés pour héberger des charges utiles malveillantes, distribuer des logiciels malveillants à de nouvelles victimes ou devenir des serveurs de contrôle de secours si le système principal subit des pannes.
De nombreuses équipes de développement, y compris celles des grandes entreprises technologiques comme Microsoft et Amazon, utilisent désormais des extraits de code et des guides d'installation générés par de grands modèles de langage (LLM) ou copiés à partir de forums en ligne.
Check Point a expliqué que, puisque les modèles d'IA ne peuvent pas créer de nouveaux mots de passe et imitent généralement ce qu'on leur a appris, ils rendent les noms d'utilisateur et les mots de passe par défaut très prévisibles , ne les changeant pas assez rapidement avant que les systèmes ne soient exposés à Internet.
Le problème devient encore plus grave lorsque des piles web anciennes comme XAMPP sont utilisées, car elles peuvent exposer par défaut les services d'administration et constituer un point d'entrée facile pour les pirates informatiques.
Les campagnes GoBruteforcer ont débuté en 2023, selon les recherches de l'Unité 42
GoBruteforcer a été documenté pour la première fois en mars 2023 par l'unité 42 de Palo Alto Networks, qui a décrit sa capacité à compromettre les systèmes de type Unix (architectures x86, x64 et ARM). Ce logiciel malveillant déploie un bot IRC (Internet Relay Chat) et un shell web, permettant aux attaquants de maintenir leur accès à distance.
En septembre 2025, des chercheurs de Black Lotus Labs (Lumen Technologies) ont découvert qu'une partie des machines infectées par une autre famille de logiciels malveillants, SystemBC, étaient également des nœuds GoBruteforcer. Les analystes de Check Point ont comparé les listes de mots de passe utilisées lors d'attaques contre une base de données d'environ 10 millions d'dentdivulgués et ont constaté un chevauchement d'environ 2,44 %.
Partant de ce constat, ils ont estimé que des dizaines de milliers de serveurs de bases de données pourraient accepter l'un des mots de passe utilisés par le botnet. Le rapport « Cloud Threat Horizons » de Google pour 2024 a révélé que lesdentfaibles ou manquants étaient responsables de 47,2 % des vecteurs d'accès initiaux dans les environnements cloud compromis.
La reconnaissance basée sur la blockchain et l'IA expose des données privées, selon une étude
Dans les cas où GoBrute a été tracdans des environnements de cryptomonnaies, les pirates informatiques utilisaient des noms d'utilisateur et des mots de passe liés à la crypto, correspondant aux conventions de nommage des projets blockchain. D'autres campagnes ciblaient les panneaux phpMyAdmin associés aux sites WordPress, un service permettant de gérer les sites web et les tableaux de bord de projets.
« Certaines tâches sont clairement axées sur un secteur spécifique. Par exemple, nous avons observé une attaque utilisant des noms d'utilisateur liés à la cryptographie, tels que cryptouser, appcrypto, crypto_app et crypto. Lors de ces exécutions, les mots de passe utilisés combinaient la liste des mots de passe faibles classiques avec des tentatives spécifiques à la cryptographie, comme cryptouser1 ou crypto_user1234 », a déclaré Check Point, en citant des exemples de mots de passe.
Check Point adentun serveur compromis utilisé pour héberger un module qui scannait les adresses de la blockchain TRON et interrogeait les soldes via une API blockchain publique pourdentles portefeuilles contenant des fonds.
« La combinaison d'infrastructures exposées, d'dentfaibles et d'outils de plus en plus automatisés. Bien que le botnet lui-même soit techniquement simple, ses opérateurs profitent du nombre de services mal configurés en ligne », a écrit la société de sécurité.
