**QLNX** cible les développeurs et les environnements DevOps, en se concentrant sur le vol d'identifiants cruciaux pour la chaîne d'approvisionnement logicielle. Selon les chercheurs **Aliakbar Zahravi** et **Ahmed Mohamed Ibrahim** chez **Trend Micro**, l'objectif principal du malware est d'obtenir un accès non autorisé à des ressources sensibles. ### Collecte d'identifiants Le collecteur d'identifiants du malware est conçu pour extraire des secrets de fichiers de grande valeur. Ceux-ci incluent : * `.npmrc` (jetons npm) * `.pypirc` (identifiants PyPI) * `.git-credentials` * `.aws/credentials` * `.kube/config` * `.docker/config.json` * `.vault-token` * Identifiants Terraform * Jetons GitHub CLI * Fichiers `.env` Une compromission réussie pourrait permettre aux attaquants de pousser des packages malveillants vers les registres NPM ou PyPI, d'accéder à l'infrastructure cloud, ou de pivoter à travers les pipelines CI/CD. ### Furtivité et persistance **QLNX** opère sans fichier depuis la mémoire, se déguisant en thread du noyau (par exemple, kworker ou ksoftirqd). Il profile l'hôte pour détecter les environnements conteneurisés et efface les journaux système pour échapper à la détection. Le malware utilise sept mécanismes de persistance différents, notamment systemd, crontab et l'injection de shell dans .bashrc. ### Commande et contrôle Après avoir exfiltré les données collectées vers une infrastructure contrôlée par l'attaquant, **QLNX** reçoit des commandes permettant : * L'exécution de commandes shell * La gestion de fichiers * L'injection de code dans des processus * La capture d'écran * L'enregistrement des frappes clavier * L'établissement de proxys SOCKS et de tunnels TCP * L'exécution de Beacon Object File (BOF) * La gestion d'un réseau maillé pair-à-pair (P2P) La communication avec le serveur de commande et contrôle (C2) s'effectue via TCP brut, HTTPS et HTTP. **QLNX** prend en charge 58 commandes distinctes, accordant aux opérateurs un contrôle complet sur les hôtes compromis. ### Capacités de backdoor PAM et de rootkit **QLNX** inclut une backdoor PAM (Pluggable Authentication Module) avec inline-hook, interceptant les identifiants en clair lors des événements d'authentification et enregistrant les données des sessions SSH sortantes. Ces données sont ensuite transmises au serveur C2. Un second enregistreur d'identifiants basé sur PAM est automatiquement chargé dans chaque processus lié dynamiquement pour extraire les noms de service, les noms d'utilisateur et les jetons d'authentification. Le malware utilise une architecture de rootkit à deux niveaux. Un rootkit en espace utilisateur, déployé via le mécanisme `LD_PRELOAD` du linker dynamique Linux, masque les artefacts et les processus de l'implant. Un composant eBPF au niveau du noyau dissimule les processus, les fichiers et les ports réseau des outils d'espace utilisateur standard (par exemple, ps, ls, netstat) lors de la réception d'instructions du serveur C2. ### Implications **Trend Micro** souligne que **QLNX** est conçu pour une furtivité et un vol d'identifiants à long terme. Son danger réside dans l'enchaînement cohérent de ses capacités, lui permettant d'arriver, de s'effacer du disque, de persister via de multiples mécanismes, de se cacher aux niveaux utilisateur et noyau, et de collecter des identifiants critiques.