**Quasar Linux (QLNX)**, um implante para Linux anteriormente indocumentado, está ganhando destaque ao visar sistemas de desenvolvedores com uma combinação potente de recursos de rootkit, backdoor e roubo de credenciais. Este kit de malware é implantado estrategicamente em ambientes de desenvolvimento e DevOps, incluindo **npm**, **PyPI**, **GitHub**, **AWS**, **Docker** e **Kubernetes**, levantando sérias preocupações sobre potenciais ataques à cadeia de suprimentos. ### Furtividade e Persistência Pesquisadores da **Trend Micro** realizaram uma análise aprofundada do implante QLNX, revelando suas capacidades avançadas. O malware compila dinamicamente objetos compartilhados de rootkit e módulos de backdoor PAM no host alvo usando **gcc** (GNU Compiler Collection). De acordo com o relatório da Trend Micro, o QLNX foi projetado para furtividade e persistência de longo prazo. Ele opera na memória, exclui o binário original do disco, apaga logs, falsifica nomes de processos e limpa variáveis de ambiente forenses para evadir a detecção. O QLNX emprega sete mecanismos de persistência distintos, incluindo `LD_PRELOAD`, `systemd`, `crontab`, scripts `init.d`, `XDG autostart` e injeção em `.bashrc`. Isso garante que ele seja carregado em todos os processos vinculados dinamicamente e reapareça se for encerrado.  ### Componentes Chave O QLNX possui múltiplos blocos funcionais dedicados a atividades específicas, tornando-o uma ferramenta de ataque completa. Seus componentes principais incluem: * **Núcleo RAT:** Um componente central de controle construído em torno de um framework de 58 comandos que fornece acesso interativo ao shell, gerenciamento de arquivos e processos, controle do sistema e operações de rede, mantendo comunicação persistente com o C2 através de canais TCP/TLS ou HTTP/S personalizados. * **Rootkit:** Um mecanismo de furtividade de dupla camada que combina um rootkit `LD_PRELOAD` em userland e um componente eBPF em nível de kernel. A camada userland intercepta funções `libc` para ocultar arquivos, processos e artefatos de malware, enquanto a camada eBPF oculta PIDs, caminhos de arquivos e portas de rede no nível do kernel. Ambos são implantados dinamicamente, com o rootkit userland compilado no sistema alvo. * **Camada de acesso a credenciais:** Combina a coleta de credenciais (chaves SSH, navegadores, configurações de nuvem e desenvolvedor, `/etc/shadow`, área de transferência) com backdoors baseados em PAM que interceptam e registram dados de autenticação em texto plano. * **Módulo de vigilância:** Keylogging, captura de tela e monitoramento da área de transferência. * **Rede e movimento lateral:** Tunneling TCP, proxy SOCKS, varredura de portas, movimento lateral baseado em SSH e rede mesh peer-to-peer. * **Motor de execução e injeção:** Injeção de processos (`ptrace`, `/proc/pid/mem`) e execução na memória de payloads (objetos compartilhados, BOF/COFF). * **Monitoramento do sistema de arquivos:** Rastreamento em tempo real da atividade de arquivos via `inotify`.  ### Cadeia de Ataque Após o acesso inicial, o QLNX estabelece um ponto de apoio sem arquivos, implanta mecanismos de persistência e furtividade e, em seguida, coleta credenciais de desenvolvedores e da nuvem. Ao visar estações de trabalho de desenvolvedores, os atacantes podem contornar os controles de segurança corporativos e acessar as credenciais que sustentam os pipelines de entrega de software.  Essa abordagem espelha incidentes recentes na cadeia de suprimentos, onde credenciais de desenvolvedores roubadas foram usadas para publicar pacotes trojanizados em repositórios públicos. ### Detecção e Mitigação A Trend Micro não forneceu detalhes sobre ataques específicos ou qualquer atribuição para o QLNX, portanto, o volume de implantação e os níveis de atividade específicos deste novo malware não estão claros. Atualmente, o implante Quasar Linux é detectado por apenas quatro soluções de segurança, que o marcam como malicioso. A Trend Micro forneceu indicadores de comprometimento (IoCs) para auxiliar os defensores na detecção de infecções por QLNX e na implementação de medidas de proteção.