Um novo trojan revelado opera silenciosamente, instalando um rootkit em duas camadas e publicando pacotes maliciosos em nome da vítima.
Pesquisadores descobriram um trojan para Linux chamado Quasar Linux (QLNX). Essa ameaça foi detectada após os sistemas de inteligência da empresa identificarem uma amostra com baixíssima detecção pelos antivírus. O malware é projetado para infectar máquinas de desenvolvedores, visando roubar credenciais de repositórios de código, ambientes de nuvem e registros públicos de pacotes como NPM e PyPI.
O QLNX se destaca por seu funcionamento como uma ferramenta de espionagem e controle profundo, capaz de agir por meses sem ser percebido. Após sua instalação, o atacante pode publicar pacotes nocivos, invadir infraestruturas de nuvem e mover-se lateralmente por servidores conectados à máquina comprometida.
Malware apaga seu rastro rapidamente
Ao ser executado, o QLNX primeiramente se copia para a memória RAM do computador e se reexecuta a partir desse local, eliminando o arquivo original do disco. Isso resulta em uma operação que não deixa vestígios, já que tudo ocorre na memória.
Para evitar detecções, o malware renomeia seu processo com nomes comuns do sistema Linux, como [kworker/0:0] ou [watchdog/0], aparentando ser funções legítimas. Essa camuflagem é aplicada em múltiplos locais ao mesmo tempo, garantindo que o administrador do sistema veja apenas informações aparentemente inocentes.
Reinstalação automática do malware
O QLNX utiliza seis métodos distintos de persistência, que podem ser combinados pelo invasor. O método mais agressivo emprega uma função nativa do Linux, chamada LD_PRELOAD, que faz com que a biblioteca maliciosa seja carregada a cada execução de qualquer programa, incluindo comandos simples como ls ou ps.
Isso implica que encerrar o processo do malware sem remover essa entrada não resolve a situação; ele reaparece quase imediatamente.
Além disso, o malware se instala como um serviço do sistema, em crontab, script de inicialização e arquivos de autostart do ambiente gráfico, tornando a remoção total um desafio mesmo para profissionais experientes.
Rootkit que oculta arquivos e processos
O QLNX incorpora um rootkit com duas camadas de segurança para esconder sua atividade. A primeira camada envolve a compilação de uma biblioteca que intercepta funções do sistema, como listagem de arquivos e verificação de processos na máquina infectada.
Ferramentas de investigação comuns não conseguem detectar os arquivos, pois o compilador utilizado é o gcc da máquina alvo, evitando questões de compatibilidade entre distribuições Linux diferentes.
A segunda camada se utiliza de eBPF, um recurso avançado do kernel Linux, para ocultar processos, arquivos e portas de rede diretamente, tornando a detecção muito mais difícil.
Captura de senhas de logins
O QLNX instala um módulo no sistema de autenticação do Linux, conhecido como PAM, que processa logins e conexões SSH. Esse módulo intercepta senhas no momento da digitação, armazenando-as em arquivos ocultos.
O malware possui uma senha mestra que possibilita ao atacante acesso a qualquer conta do sistema infectado.
Coleta de credenciais
Ao receber o comando para coletar credenciais, o QLNX varre a máquina, procurando por tokens NPM, chaves PyPI, credenciais AWS, entre outros dados sensíveis como senhas em navegadores e conteúdos da área de transferência.
A Trend Micro alerta que esse tipo de ataque não é apenas teórico; em um incidente recente, credenciais de um desenvolvedor foram utilizadas para injetar malware em um pacote com milhões de downloads.
O QLNX apresenta capacidades que replicam exatamente esse cenário, desde a infecção inicial até a publicação de pacotes comprometedores em registros públicos.
Acompanhe a Defesa Digital nas redes sociais para mais notícias sobre segurança e tecnologia e não esqueça de se inscrever em nossa newsletter e canal do YouTube.
