2026-05-05 00:00
← VoltarUm implante Linux anteriormente não documentado chamado Quasar Linux (QLNX) tem como alvo os sistemas dos desenvolvedores com uma combinação de recursos de rootkit, backdoor e roubo de credenciais. O kit de malware é implantado em ambientes de desenvolvimento e DevOps em npm, PyPI, GitHub, AWS, Docker e Kubernetes. Isso poderia permitir ataques à cadeia de suprimentos, onde o agente da ameaça publica pacotes maliciosos em plataformas de distribuição de código. Pesquisadores da empresa de segurança cibernética Trend Micro analisaram o implante QLNX e descobriram que “ele compila dinamicamente objetos compartilhados de rootkit e módulos backdoor PAM no host de destino usando gcc [GNU Compiler Collection]”. Um relatório da empresa esta semana observa que o QLNX foi projetado para ser furtivo e persistente a longo prazo, pois é executado na memória, exclui o binário original do disco, limpa logs, falsifica nomes de processos e limpa variáveis de ambiente forenses. O malware usa sete mecanismos de persistência distintos, incluindo LD_PRELOAD, systemd, crontab, scripts init.d, inicialização automática XDG e injeção ‘.bashrc’, garantindo que ele seja carregado em todos os processos vinculados dinamicamente e reapareça se for eliminado. Visão geral dos mecanismos de persistência do QLNX Fonte: Trend Micro O QLNX apresenta vários blocos funcionais dedicados a atividades específicas, tornando-o uma ferramenta de ataque completa. Seus componentes principais podem ser resumidos da...
Um implante Linux anteriormente não documentado chamado Quasar Linux (QLNX) tem como alvo os sistemas dos desenvolvedores com uma combinação de recursos de rootkit, backdoor e roubo de credenciais. O kit de malware é implantado em ambientes de desenvolvimento e DevOps em npm, PyPI, GitHub, AWS, Docker e Kubernetes. Isso poderia permitir ataques à cadeia de suprimentos, onde o agente da ameaça publica pacotes maliciosos em plataformas de distribuição de código. Pesquisadores da empresa de segurança cibernética Trend Micro analisaram o implante QLNX e descobriram que “ele compila dinamicamente objetos compartilhados de rootkit e módulos backdoor PAM no host de destino usando gcc [GNU Compiler Collection]”. Um relatório da empresa esta semana observa que o QLNX foi projetado para ser furtivo e persistente a longo prazo, pois é executado na memória, exclui o binário original do disco, limpa logs, falsifica nomes de processos e limpa variáveis de ambiente forenses. O malware usa sete mecanismos de persistência distintos, incluindo LD_PRELOAD, systemd, crontab, scripts init.d, inicialização automática XDG e injeção ‘.bashrc’, garantindo que ele seja carregado em todos os processos vinculados dinamicamente e reapareça se for eliminado. Visão geral dos mecanismos de persistência do QLNX Fonte: Trend Micro O QLNX apresenta vários blocos funcionais dedicados a atividades específicas, tornando-o uma ferramenta de ataque completa. Seus componentes principais podem ser resumidos da seguinte forma: Núcleo RAT — Componente de controle central construído em torno de uma estrutura de 58 comandos que fornece acesso interativo ao shell, gerenciamento de arquivos e processos, controle do sistema e operações de rede, enquanto mantém comunicação persistente com o C2 por meio de canais TCP/TLS ou HTTP/S personalizados.
— Componente de controle central construído em torno de uma estrutura de 58 comandos que fornece acesso interativo ao shell, gerenciamento de arquivos e processos, controle do sistema e operações de rede, enquanto mantém comunicação persistente com o C2 por meio de canais TCP/TLS ou HTTP/S personalizados. Rootkit — Mecanismo furtivo de camada dupla que combina um rootkit LD_PRELOAD de usuário e um componente eBPF em nível de kernel. A camada userland conecta funções libc para ocultar arquivos, processos e artefatos de malware, enquanto a camada eBPF oculta PIDs, caminhos de arquivos e portas de rede no nível do kernel. Ambos são implantados dinamicamente, com o rootkit do usuário compilado no sistema de destino. — Mecanismo furtivo de camada dupla combinando um rootkit LD_PRELOAD de usuário e um componente eBPF em nível de kernel. A camada userland conecta funções libc para ocultar arquivos, processos e artefatos de malware, enquanto a camada eBPF oculta PIDs, caminhos de arquivos e portas de rede no nível do kernel. Ambos são implantados dinamicamente, com o rootkit do usuário compilado no sistema de destino. Camada de acesso a credenciais — Combina a coleta de credenciais (chaves SSH, navegadores, configurações de nuvem e de desenvolvedor, /etc/shadow, área de transferência) com backdoors baseados em PAM que interceptam e registram dados de autenticação de texto simples.
— Combina coleta de credenciais (chaves SSH, navegadores, configurações de nuvem e de desenvolvedor, /etc/shadow, área de transferência) com backdoors baseados em PAM que interceptam e registram dados de autenticação de texto simples. Módulo de vigilância – Keylogging, captura de tela e monitoramento da área de transferência. — Keylogging, captura de tela e monitoramento da área de transferência. Rede e movimento lateral — tunelamento TCP, proxy SOCKS, varredura de portas, movimento lateral baseado em SSH e rede mesh ponto a ponto. — Tunelamento TCP, proxy SOCKS, varredura de portas, movimento lateral baseado em SSH e rede mesh ponto a ponto. Mecanismo de execução e injeção — Injeção de processos (ptrace, /proc/pid/mem) e execução na memória de cargas úteis (objetos compartilhados, BOF/COFF). — Injeção de processos (ptrace, /proc/pid/mem) e execução na memória de cargas úteis (objetos compartilhados, BOF/COFF). Monitoramento do sistema de arquivos — Rastreamento em tempo real da atividade de arquivos via inotify.
A arquitetura do rootkit Fonte: Trend Micro Após o acesso inicial, o QLNX estabelece uma base sem arquivo, implanta mecanismos de persistência e furtividade e, em seguida, coleta credenciais de desenvolvedor e de nuvem. Ao visar estações de trabalho de desenvolvedores, os invasores podem contornar os c controle e acesse as credenciais que sustentam os pipelines de entrega de software. Roubo de credenciais Fonte: Trend Micro Essa abordagem reflete incidentes recentes na cadeia de suprimentos nos quais credenciais roubadas de desenvolvedores foram usadas para publicar pacotes trojanizados em repositórios públicos. A Trend Micro não forneceu detalhes sobre ataques específicos ou qualquer atribuição ao QLNX, portanto, o volume de implantação e os níveis de atividade específicos deste novo malware não são claros. No momento da publicação, o implante Quasar Linux foi detectado por apenas quatro soluções de segurança, que sinalizam seu binário como malicioso. A Trend Micro forneceu indicadores de comprometimento (IoCs) para ajudar os defensores a detectar infecções por QLNX e se proteger contra elas.