**Quasar Linux (QLNX)**, un implante de Linux previamente indocumentado, está causando revuelo al dirigirse a los sistemas de los desarrolladores con una potente combinación de características de rootkit, backdoor y robo de credenciales. Este kit de malware se implementa estratégicamente dentro de entornos de desarrollo y DevOps, incluyendo **npm**, **PyPI**, **GitHub**, **AWS**, **Docker** y **Kubernetes**, lo que genera serias preocupaciones sobre posibles ataques a la cadena de suministro. ### Sigilo y Persistencia Investigadores de **Trend Micro** han realizado un análisis en profundidad del implante QLNX, revelando sus capacidades avanzadas. El malware compila dinámicamente objetos compartidos de rootkit y módulos de backdoor PAM en el host de destino utilizando **gcc** (GNU Compiler Collection). Según el informe de Trend Micro, QLNX está diseñado para el sigilo y la persistencia a largo plazo. Opera en memoria, elimina el binario original del disco, borra registros, falsifica nombres de procesos y limpia variables de entorno forenses para evadir la detección. QLNX emplea siete mecanismos de persistencia distintos, que incluyen `LD_PRELOAD`, `systemd`, `crontab`, scripts `init.d`, `XDG autostart` e inyección en `.bashrc`. Esto asegura que se cargue en cada proceso enlazado dinámicamente y se reinicie si se termina.  ### Componentes Clave QLNX presenta múltiples bloques funcionales dedicados a actividades específicas, lo que lo convierte en una herramienta de ataque completa. Sus componentes principales incluyen: * **Núcleo RAT:** Un componente de control central construido alrededor de un framework de 58 comandos que proporciona acceso interactivo a la shell, gestión de archivos y procesos, control del sistema y operaciones de red, al tiempo que mantiene una comunicación persistente con el C2 a través de canales TCP/TLS o HTTP/S personalizados. * **Rootkit:** Un mecanismo de sigilo de doble capa que combina un rootkit de espacio de usuario `LD_PRELOAD` y un componente eBPF a nivel de kernel. La capa de espacio de usuario engancha las funciones de `libc` para ocultar archivos, procesos y artefactos de malware, mientras que la capa eBPF oculta PIDs, rutas de archivos y puertos de red a nivel de kernel. Ambos se implementan dinámicamente, con el rootkit de espacio de usuario compilado en el sistema de destino. * **Capa de acceso a credenciales:** Combina la recolección de credenciales (claves SSH, navegadores, configuraciones de nube y desarrollador, `/etc/shadow`, portapapeles) con backdoors basados en PAM que interceptan y registran datos de autenticación en texto plano. * **Módulo de vigilancia:** Registro de pulsaciones de teclas, captura de capturas de pantalla y monitoreo del portapapeles. * **Redes y movimiento lateral:** Túneles TCP, proxy SOCKS, escaneo de puertos, movimiento lateral basado en SSH y redes de malla peer-to-peer. * **Motor de ejecución e inyección:** Inyección de procesos (`ptrace`, `/proc/pid/mem`) y ejecución en memoria de payloads (objetos compartidos, BOF/COFF). * **Monitoreo del sistema de archivos:** Seguimiento en tiempo real de la actividad de archivos a través de `inotify`.  ### Cadena de Ataque Después del acceso inicial, QLNX establece un punto de apoyo sin archivos, implementa mecanismos de persistencia y sigilo, y luego recolecta credenciales de desarrolladores y de la nube. Al dirigirse a las estaciones de trabajo de los desarrolladores, los atacantes pueden eludir los controles de seguridad empresariales y acceder a las credenciales que sustentan las canalizaciones de entrega de software.  Este enfoque refleja incidentes recientes en la cadena de suministro donde se utilizaron credenciales de desarrolladores robadas para publicar paquetes troyanizados en repositorios públicos. ### Detección y Mitigación Trend Micro no ha proporcionado detalles sobre ataques específicos ni atribución para QLNX, por lo que el volumen de implementación y los niveles de actividad específicos de este nuevo malware no están claros. Actualmente, el implante Quasar Linux es detectado por solo cuatro soluciones de seguridad, que marcan su binario como malicioso. Trend Micro ha proporcionado indicadores de compromiso (IoCs) para ayudar a los defensores a detectar infecciones de QLNX e implementar medidas de protección.