**QLNX** zielt auf Entwickler und DevOps-Umgebungen ab und konzentriert sich auf den Diebstahl von Anmeldedaten, die für die Software-Lieferkette entscheidend sind. Laut den Forschern **Aliakbar Zahravi** und **Ahmed Mohamed Ibrahim** von **Trend Micro** ist das Hauptziel der Malware, unbefugten Zugriff auf sensible Ressourcen zu erlangen. ### Erfassung von Anmeldedaten Der Credential Harvester der Malware ist darauf ausgelegt, Geheimnisse aus hochwertigen Dateien zu extrahieren. Dazu gehören: * `.npmrc` (npm-Tokens) * `.pypirc` (PyPI-Anmeldedaten) * `.git-credentials` * `.aws/credentials` * `.kube/config` * `.docker/config.json` * `.vault-token` * Terraform-Anmeldedaten * GitHub CLI-Tokens * `.env`-Dateien Eine erfolgreiche Kompromittierung könnte es Angreifern ermöglichen, bösartige Pakete in NPM- oder PyPI-Registries einzuschleusen, auf Cloud-Infrastrukturen zuzugreifen oder sich durch CI/CD-Pipelines zu bewegen. ### Tarnung und Persistenz **QLNX** arbeitet dateilos aus dem Speicher und tarnt sich als Kernel-Thread (z. B. kworker oder ksoftirqd). Es profiliert den Host, um containerisierte Umgebungen zu erkennen, und löscht Systemprotokolle, um einer Entdeckung zu entgehen. Die Malware verwendet sieben verschiedene Persistenzmechanismen, darunter Systemd, Crontab und .bashrc Shell-Injection. ### Command and Control Nachdem die gesammelten Daten an von Angreifern kontrollierte Infrastrukturen exfiltriert wurden, empfängt **QLNX** Befehle, die Folgendes ermöglichen: * Ausführung von Shell-Befehlen * Dateiverwaltung * Code-Injektion in Prozesse * Aufnahme von Screenshots * Keylogging * Einrichtung von SOCKS-Proxys und TCP-Tunneln * Ausführung von Beacon Object Files (BOF) * Verwaltung von Peer-to-Peer (P2P) Mesh-Netzwerken Die Kommunikation mit dem Command-and-Control (C2)-Server erfolgt über Raw TCP, HTTPS und HTTP. **QLNX** unterstützt 58 verschiedene Befehle, die den Betreibern die vollständige Kontrolle über kompromittierte Hosts ermöglichen. ### PAM-Backdoor und Rootkit-Funktionen **QLNX** enthält eine Pluggable Authentication Module (PAM) Inline-Hook-Backdoor, die Klartext-Anmeldedaten während Authentifizierungsereignissen abfängt und ausgehende SSH-Sitzungsdaten protokolliert. Diese Daten werden dann an den C2-Server übertragen. Ein zweiter PAM-basierter Anmeldedaten-Logger wird automatisch in jeden dynamisch verknüpften Prozess geladen, um Servicenamen, Benutzernamen und Authentifizierungstoken zu extrahieren. Die Malware verwendet eine zweistufige Rootkit-Architektur. Ein Userland-Rootkit, das über den `LD_PRELOAD`-Mechanismus des Linux-Dynamic-Linkers bereitgestellt wird, verbirgt die Artefakte und Prozesse des Implants. Eine Kernel-Level eBPF-Komponente verbirgt Prozesse, Dateien und Netzwerkports vor Standard-Userland-Tools (z. B. ps, ls, netstat), sobald sie Anweisungen vom C2-Server erhält. ### Auswirkungen **Trend Micro** betont, dass **QLNX** für langfristige Tarnung und den Diebstahl von Anmeldedaten entwickelt wurde. Seine Gefahr liegt in der kohärenten Verkettung von Fähigkeiten, die es ihm ermöglichen, einzudringen, sich von der Festplatte zu löschen, über mehrere Mechanismen persistent zu bleiben, sich sowohl auf User- als auch auf Kernel-Ebene zu verbergen und kritische Anmeldedaten zu ernten.