**Quasar Linux (QLNX)**, un implant Linux jusqu'alors non documenté, fait parler de lui en ciblant les systèmes des développeurs avec une combinaison puissante de fonctionnalités de rootkit, de backdoor et de vol d'identifiants. Ce kit malveillant est déployé stratégiquement dans les environnements de développement et DevOps, notamment **npm**, **PyPI**, **GitHub**, **AWS**, **Docker** et **Kubernetes**, suscitant de vives inquiétudes quant aux potentielles attaques de la chaîne d'approvisionnement. ### Furtivité et Persistance Les chercheurs de **Trend Micro** ont mené une analyse approfondie de l'implant QLNX, révélant ses capacités avancées. Le malware compile dynamiquement des objets partagés de type rootkit et des modules de backdoor PAM sur l'hôte cible à l'aide de **gcc** (GNU Compiler Collection). Selon le rapport de Trend Micro, QLNX est conçu pour la furtivité et la persistance à long terme. Il opère en mémoire, supprime le binaire d'origine du disque, efface les journaux, usurpe les noms de processus et efface les variables d'environnement forensiques pour échapper à la détection. QLNX emploie sept mécanismes de persistance distincts, notamment `LD_PRELOAD`, `systemd`, `crontab`, les scripts `init.d`, le démarrage automatique `XDG` et l'injection dans `.bashrc`. Cela garantit qu'il se charge dans chaque processus lié dynamiquement et qu'il se relance s'il est terminé.  ### Composants Clés QLNX dispose de plusieurs blocs fonctionnels dédiés à des activités spécifiques, ce qui en fait un outil d'attaque complet. Ses composants principaux comprennent : * **Noyau RAT :** Un composant de contrôle centralisé construit autour d'un framework de 58 commandes qui fournit un accès shell interactif, la gestion des fichiers et des processus, le contrôle du système et les opérations réseau, tout en maintenant une communication persistante avec le C2 sur des canaux TCP/TLS ou HTTP/S personnalisés. * **Rootkit :** Un mécanisme de furtivité à double couche combinant un rootkit userland `LD_PRELOAD` et un composant eBPF au niveau du noyau. La couche userland intercepte les fonctions `libc` pour masquer les fichiers, les processus et les artefacts malveillants, tandis que la couche eBPF dissimule les PID, les chemins de fichiers et les ports réseau au niveau du noyau. Les deux sont déployés dynamiquement, le rootkit userland étant compilé sur le système cible. * **Couche d'accès aux identifiants :** Combine la récolte d'identifiants (clés SSH, navigateurs, configurations cloud et développeur, `/etc/shadow`, presse-papiers) avec des backdoors basées sur PAM qui interceptent et enregistrent les données d'authentification en clair. * **Module de surveillance :** Enregistrement des frappes clavier, capture d'écran et surveillance du presse-papiers. * **Réseau et mouvement latéral :** Tunnelisation TCP, proxy SOCKS, scan de ports, mouvement latéral basé sur SSH et réseau maillé peer-to-peer. * **Moteur d'exécution et d'injection :** Injection de processus (`ptrace`, `/proc/pid/mem`) et exécution en mémoire des charges utiles (objets partagés, BOF/COFF). * **Surveillance du système de fichiers :** Suivi en temps réel de l'activité des fichiers via `inotify`.  ### Chaîne d'Attaque Après l'accès initial, QLNX établit un point d'ancrage sans fichier, déploie des mécanismes de persistance et de furtivité, puis récolte les identifiants des développeurs et du cloud. En ciblant les postes de travail des développeurs, les attaquants peuvent contourner les contrôles de sécurité d'entreprise et accéder aux identifiants qui sous-tendent les pipelines de livraison de logiciels.  Cette approche reflète les incidents récents de la chaîne d'approvisionnement où des identifiants de développeurs volés ont été utilisés pour publier des packages troyanisés sur des dépôts publics. ### Détection et Atténuation Trend Micro n'a pas fourni de détails sur des attaques spécifiques ni sur une attribution pour QLNX, de sorte que le volume de déploiement et les niveaux d'activité spécifiques de ce nouveau malware ne sont pas clairs. Actuellement, l'implant Quasar Linux n'est détecté que par quatre solutions de sécurité, qui signalent son binaire comme malveillant. Trend Micro a fourni des indicateurs de compromission (IoC) pour aider les défenseurs à détecter les infections par QLNX et à mettre en œuvre des mesures de protection.