Surgiu o Quasar Linux (QLNX), um novo trojan de acesso remoto (RAT), que tem como alvo sistemas de desenvolvedores Linux. Através de uma combinação de técnicas de rootkit, roubo de credenciais e mecanismos furtivos, o Linux RAT, que foi documentado pela primeira vez pela Trend Micro no início de maio, permite que os agentes de ameaças executem um fluxo de trabalho de ataque completo e secreto.
Leia mais depois do anúncio
Os pesquisadores de segurança da Trend Micro não mencionaram casos específicos de danos causados pelo QLNX. Em sua análise detalhada, eles ainda classificam o potencial de ameaça como alto porque o malware Linux tem como alvo os desenvolvedores e as credenciais de DevOps em toda a cadeia de fornecimento de software e é difícil de remover dos sistemas infectados.
No momento da análise, a Trend Micro parece ser o único fornecedor de antivírus com regras de detecção detalhadas para QLNX. SOC Prime agora aderiu.
Um convidado permanente não convidado
Nos sistemas infectados, o QLNX rouba os segredos do npm, PyPI, GitHub, Amazon Web Services (AWS), Docker e Kubernetes. Informações como chaves SSH privadas, logins de navegador, histórico de shell, conteúdo da área de transferência e senhas não criptografadas no processo de autenticação do PAM Linux também são o foco dos ladrões de dados.
As informações fluem para o servidor do invasor remoto via HTTPS, HTTP ou um protocolo TLS especial. O malware também recebe comandos pelo mesmo canal de comunicação. Os recursos de malha P2P do QLNX também permitem rotear dados entre outros sistemas comprometidos, tornando-os mais difíceis de detectar e remover.
O QLNX mostra persistência semelhante em dispositivos infectados, onde despende muito esforço para mantê-lo funcionando despercebido em segundo plano. Após a infecção inicial, o Linux RAT exclui arquivos binários, continua rodando sem arquivos na memória, cria nomes de processos, faz os logs do sistema desaparecerem e instala sete mecanismos de persistência redundantes para mantê-los ativos mesmo após serem parcialmente limpos.
Leia mais depois do anúncio
Quasar Linux praticamente se dá um nome. O malware usa entradas do systemd como ~/.config/systemd/user/quasar_linux.service e /etc/systemd/system/quasar_linux.service para instalar.
QLNX tem todos os requisitos para realizar um ataque à cadeia de suprimentos à la LiteLLM. Como lembrete, em 24 de março de 2026, os cibercriminosos comprometeram e credenciaram dois pacotes LiteLLM (v1.82.7 e v1.82.8) no Índice de Pacotes Python usando tokens PyPI obtidos do pipeline CI/CD do LiteLLM.
(não)
