**QLNX**は、開発者およびDevOps環境を標的とし、ソフトウェアサプライチェーンに不可欠な認証情報の窃取に焦点を当てています。**Trend Micro**の研究者である**Aliakbar Zahravi**氏と**Ahmed Mohamed Ibrahim**氏によると、このマルウェアの主な目的は、機密性の高いリソースへの不正アクセスを獲得することです。 ### 認証情報窃取 このマルウェアの認証情報窃取機能は、価値の高いファイルから秘密情報を抽出するように設計されています。これには以下が含まれます： * `.npmrc` (npmトークン) * `.pypirc` (PyPI認証情報) * `.git-credentials` * `.aws/credentials` * `.kube/config` * `.docker/config.json` * `.vault-token` * Terraform認証情報 * GitHub CLIトークン * `.env`ファイル これらの情報が侵害されると、攻撃者はNPMまたはPyPIレジストリに悪意のあるパッケージをプッシュしたり、クラウドインフラストラクチャにアクセスしたり、CI/CDパイプラインを通じて横展開したりすることが可能になります。 ### ステルス性と永続性 **QLNX**はメモリ上でファイルレスで動作し、カーネルスレッド（例：kworkerまたはksoftirqd）を装います。ホストをプロファイリングしてコンテナ化された環境を検出し、検出を回避するためにシステムログを消去します。このマルウェアは、systemd、crontab、.bashrcシェルインジェクションを含む7つの異なる永続化メカニズムを採用しています。 ### コマンド＆コントロール 収集したデータを攻撃者が制御するインフラストラクチャに外部送信した後、**QLNX**はコマンドを受信し、以下の操作を可能にします： * シェルコマンド実行 * ファイル管理 * プロセスへのコードインジェクション * スクリーンショットキャプチャ * キーロギング * SOCKSプロキシおよびTCPトンネルの確立 * Beacon Object File (BOF) の実行 * ピアツーピア（P2P）メッシュネットワーク管理 コマンド＆コントロール（C2）サーバーとの通信は、生のTCP、HTTPS、およびHTTPを介して行われます。**QLNX**は58種類のコマンドをサポートしており、オペレーターは侵害されたホストを完全に制御できます。 ### PAMバックドアとルートキット機能 **QLNX**には、認証イベント中に平文の認証情報を傍受し、アウトバウンドSSHセッションデータを記録するPluggable Authentication Module（PAM）インラインフックバックドアが含まれています。このデータはその後C2サーバーに送信されます。2番目のPAMベースの認証情報ロガーは、すべての動的リンクされたプロセスに自動的にロードされ、サービス名、ユーザー名、および認証トークンを抽出します。 このマルウェアは、2層のルートキットアーキテクチャを利用しています。Linuxダイナミックリンカの`LD_PRELOAD`メカニズムを介して展開されるユーザランドルートキットは、インプラントのアーティファクトとプロセスを隠蔽します。カーネルレベルのeBPFコンポーネントは、C2サーバーからの指示を受信すると、標準のユーザランドツール（例：ps、ls、netstat）からプロセス、ファイル、およびネットワークポートを隠蔽します。 ### 影響 **Trend Micro**は、**QLNX**が長期的なステルス性と認証情報窃取のために設計されていると強調しています。その危険性は、機能の首尾一貫した連鎖にあり、これにより、侵入し、ディスクから自身を消去し、複数のメカニズムを通じて永続化し、ユーザレベルとカーネルレベルの両方で隠蔽し、重要な認証情報を収集することが可能になります。