O **QLNX** tem como alvo desenvolvedores e ambientes DevOps, focando no roubo de credenciais cruciais para a cadeia de suprimentos de software. De acordo com os pesquisadores **Aliakbar Zahravi** e **Ahmed Mohamed Ibrahim** da **Trend Micro**, o objetivo principal do malware é obter acesso não autorizado a recursos sensíveis. ### Coleta de Credenciais O coletor de credenciais do malware foi projetado para extrair segredos de arquivos de alto valor. Estes incluem: * `.npmrc` (tokens npm) * `.pypirc` (credenciais PyPI) * `.git-credentials` * `.aws/credentials` * `.kube/config` * `.docker/config.json` * `.vault-token` * Credenciais Terraform * Tokens do GitHub CLI * Arquivos `.env` Uma violação bem-sucedida poderia permitir que atacantes enviassem pacotes maliciosos para os registros NPM ou PyPI, acessassem a infraestrutura em nuvem ou realizassem pivôs através de pipelines CI/CD. ### Furtividade e Persistência O **QLNX** opera sem arquivos, diretamente da memória, disfarçando-se como uma thread do kernel (por exemplo, kworker ou ksoftirqd). Ele faz um perfil do host para detectar ambientes conteinerizados e apaga logs do sistema para evadir a detecção. O malware emprega sete mecanismos de persistência diferentes, incluindo systemd, crontab e injeção de shell em .bashrc. ### Comando e Controle Após exfiltrar os dados coletados para infraestrutura controlada pelo atacante, o **QLNX** recebe comandos que permitem: * Execução de comandos de shell * Gerenciamento de arquivos * Injeção de código em processos * Captura de tela * Keylogging * Estabelecimento de proxy SOCKS e túnel TCP * Execução de Beacon Object File (BOF) * Gerenciamento de rede mesh peer-to-peer (P2P) A comunicação com o servidor de comando e controle (C2) ocorre via TCP bruto, HTTPS e HTTP. O **QLNX** suporta 58 comandos distintos, concedendo aos operadores controle total sobre os hosts comprometidos. ### Backdoor PAM e Capacidades de Rootkit O **QLNX** inclui um backdoor Pluggable Authentication Module (PAM) inline-hook, que intercepta credenciais em texto plano durante eventos de autenticação e registra dados de sessão SSH de saída. Esses dados são então transmitidos para o servidor C2. Um segundo logger de credenciais baseado em PAM é carregado automaticamente em todos os processos vinculados dinamicamente para extrair nomes de serviço, nomes de usuário e tokens de autenticação. O malware utiliza uma arquitetura de rootkit de dois níveis. Um rootkit userland, implantado através do mecanismo `LD_PRELOAD` do linker dinâmico do Linux, oculta os artefatos e processos do implante. Um componente eBPF em nível de kernel oculta processos, arquivos e portas de rede das ferramentas padrão do userland (por exemplo, ps, ls, netstat) ao receber instruções do servidor C2. ### Implicações A **Trend Micro** enfatiza que o **QLNX** foi projetado para furtividade de longo prazo e roubo de credenciais. Seu perigo reside na combinação coerente de capacidades, permitindo que ele chegue, se apague do disco, persista através de múltiplos mecanismos, se esconda em níveis de usuário e kernel, e colete credenciais críticas.