Des attaquants profitent de deux failles d’évitement d’authentification dans l’outil open-source de planification de tâches Qinglong pour installer des cryptomineurs sur les serveurs de développeurs.
Les chercheurs de la société de sécurité des applications cloud-native Snyk ont observé ces exploitations dès le début du mois de février, avant leur révélation publique fin février.
Une plateforme prisée des développeurs chinois
Qinglong constitue une solution auto-hébergée de gestion temporelle, très appréciée par les programmeurs chinois. Sur GitHub, le projet compte plus de 3 200 forks et dépasse les 19 000 étoiles.
Des vulnérabilités chainables menant à une exécution de code à distance
Ces deux problèmes de sécurité affectent les versions 2.20.1 et inférieures de Qinglong. Elles se combinent pour permettre une exécution de code à distance :
- CVE-2026-3965 : une règle de réécriture mal configurée redirige les requêtes ‘/open/*’ vers ‘/api/*’, exposant sans authentification des endpoints administrateur protégés.
- CVE-2026-4047 : la vérification d’authentification considère les chemins comme sensibles à la casse (/api/), contrairement au routeur qui les traite sans distinction de casse, autorisant des requêtes comme ‘/aPi/…’ pour contourner les protections.
Les origines de ces failles résident dans un décalage entre la logique d’autorisation du middleware et le comportement de routage de Express.js.
Les experts de Snyk précisent que le middleware de sécurité supposait un traitement uniforme des motifs d’URL, alors que le framework les gérait autrement.
Détails des attaques en cours
Depuis le 7 février, les cybercriminels visent les panneaux Qinglong exposés publiquement. Les victimes signalent un processus dissimulé nommé ‘.fullgc’, qui consomme entre 85 % et 100 % de la puissance CPU.
Ce nom imite délibérément “Full GC”, un processus légitime gourmand en ressources, afin d’échapper à la détection.
Les assaillants modifient le fichier config.sh de Qinglong en injectant des commandes shell. Celles-ci téléchargent un mineur depuis ‘file.551911.xyz’ vers ‘/ql/data/db/.fullgc’ et le lancent en arrière-plan. Le serveur distant propose des binaires pour Linux x86_64, ARM64 et macOS.
Des infections multiples ont été confirmées, y compris sur des configurations protégées par Nginx et SSL.
Réponse des mainteneurs
Les responsables de Qinglong ont réagi le 1er mars en reconnaissant la faille et en recommandant la dernière mise à jour. La pull request #2924 bloquait les motifs d’injection de commandes, mais restait inefficace selon Snyk.
La correction définitive arrive avec la pull request #2941, qui résout l’évitement d’authentification dans le middleware.