Hackers exploit Marimo flaw to deploy NKAbuse malware from Hugging Face

Exploitation de la faille Marimo pour le déploiement du malware NKAbuse

Des attaquants exploitent activement une vulnérabilité critique de RCE (exécution de code à distance) dans les notebooks Python Marimo pour déployer une nouvelle variante du malware NKAbuse. Les cybercriminels détournent la plateforme légitime Hugging Face Spaces pour héberger des scripts de téléchargement et des binaires malveillants, profitant de la bonne réputation du domaine pour contourner les alertes de sécurité.

Points clés :

• Vectorisation : Utilisation de Hugging Face Spaces pour héberger un dropper (install-linux.sh) et un binaire nommé kagent (usurpant un outil Kubernetes).
• Persistance : Le malware s’installe via systemd, cron ou macOS LaunchAgent.
• Fonctionnalités : Le nouveau NKAbuse agit comme un cheval de Troie d’accès à distance (RAT), utilisant le réseau décentralisé NKN pour les communications, permettant l’exécution de commandes shell et l’exfiltration de données.
• Tactiques étendues : Outre le malware, des attaquants utilisent cette faille pour extraire des identifiants (fichiers .env) afin de compromettre des bases de données PostgreSQL et Redis.

Vulnérabilité :

• CVE-2026-39987 : Faille RCE critique dans Marimo permettant l’exécution de code sans authentification.

Recommandations :

• Mise à jour : Passer immédiatement à la version 0.23.0 ou ultérieure de Marimo.
• Atténuation temporaire : Si la mise à jour est impossible, bloquer l’accès externe au point de terminaison /terminal/ws via un pare-feu.

Source