**QLNX** apunta a desarrolladores y entornos DevOps, centrándose en el robo de credenciales cruciales para la cadena de suministro de software. Según los investigadores **Aliakbar Zahravi** y **Ahmed Mohamed Ibrahim** de **Trend Micro**, el objetivo principal del malware es obtener acceso no autorizado a recursos sensibles. ### Recolección de Credenciales El recolector de credenciales del malware está diseñado para extraer secretos de archivos de alto valor. Estos incluyen: * `.npmrc` (tokens de npm) * `.pypirc` (credenciales de PyPI) * `.git-credentials` * `.aws/credentials` * `.kube/config` * `.docker/config.json` * `.vault-token` * Credenciales de Terraform * Tokens de GitHub CLI * Archivos `.env` Una compromiso exitoso podría permitir a los atacantes enviar paquetes maliciosos a los registros de NPM o PyPI, acceder a la infraestructura en la nube o pivotar a través de pipelines de CI/CD. ### Sigilo y Persistencia **QLNX** opera sin archivos desde la memoria, disfrazándose como un hilo del kernel (por ejemplo, kworker o ksoftirqd). Perfila el host para detectar entornos contenerizados y borra los registros del sistema para evadir la detección. El malware emplea siete mecanismos de persistencia diferentes, incluyendo systemd, crontab e inyección de shell en `.bashrc`. ### Comando y Control Después de exfiltrar los datos recopilados a infraestructura controlada por el atacante, **QLNX** recibe comandos que permiten: * Ejecución de comandos de shell * Gestión de archivos * Inyección de código en procesos * Captura de pantalla * Registro de pulsaciones de teclas * Establecimiento de proxy SOCKS y túneles TCP * Ejecución de Beacon Object File (BOF) * Gestión de red mesh Peer-to-Peer (P2P) La comunicación con el servidor de comando y control (C2) se realiza a través de TCP crudo, HTTPS y HTTP. **QLNX** soporta 58 comandos distintos, otorgando a los operadores control total sobre los hosts comprometidos. ### Puerta Trasera PAM y Capacidades de Rootkit **QLNX** incluye una puerta trasera Pluggable Authentication Module (PAM) con inline-hook, que intercepta credenciales en texto plano durante eventos de autenticación y registra datos de sesiones SSH salientes. Estos datos se transmiten luego al servidor C2. Un segundo registrador de credenciales basado en PAM se carga automáticamente en cada proceso enlazado dinámicamente para extraer nombres de servicio, nombres de usuario y tokens de autenticación. El malware utiliza una arquitectura de rootkit de dos niveles. Un rootkit de userland, desplegado a través del mecanismo `LD_PRELOAD` del enlazador dinámico de Linux, oculta los artefactos y procesos del implante. Un componente eBPF a nivel de kernel oculta procesos, archivos y puertos de red de herramientas estándar de userland (por ejemplo, ps, ls, netstat) al recibir instrucciones del servidor C2. ### Implicaciones **Trend Micro** enfatiza que **QLNX** está diseñado para un sigilo y robo de credenciales a largo plazo. Su peligro radica en la concatenación coherente de capacidades, permitiéndole llegar, borrarse del disco, persistir a través de múltiples mecanismos, ocultarse tanto a nivel de usuario como de kernel, y recolectar credenciales críticas.