O malware que se apaga: Como o Quasar Linux consegue rodar sem deixar rastros no disco
Pesquisadores da Trend Micro descobriram um novo malware para Linux chamado Quasar Linux (QLNX). O foco principal do ataque são desenvolvedores e servidores conectados a plataformas como NPM, PyPI, GitHub e AWS.
O objetivo do malware é roubar credenciais, assumir contas de desenvolvimento e publicar pacotes maliciosos que podem atingir milhões de usuários.
Como o QLNX funciona
Execução invisível
- O malware executa diretamente na memória RAM e apaga o arquivo original do disco, dificultando a detecção e a análise forense.
- Além disso, ele altera o nome dos próprios processos para imitar funções legítimas do Linux, escondendo sua atividade do administrador do sistema.
Persistência avançada
O QLNX possui vários mecanismos para permanecer ativo no sistema, incluindo:
- serviços do Linux
- crontab
- scripts de inicialização
- autostart
- manipulação do LD_PRELOAD.
Mesmo após o encerramento do processo, o malware pode se reinstalar automaticamente.
Rootkit e ocultação profunda
O malware utiliza um rootkit em duas camadas para esconder:
- arquivos
- processos
- portas de rede
- conexões.
Uma das técnicas mais perigosas envolve o uso de eBPF, recurso avançado do kernel Linux que dificulta enormemente a detecção.
Roubo de credenciais
O QLNX intercepta senhas diretamente do sistema de autenticação Linux (PAM), capturando:
- logins SSH
- comandos sudo
- autenticações administrativas.
Ele também procura credenciais e tokens de:
- GitHub
- NPM
- PyPI
- AWS
- Docker Hub
- Kubernetes
- Terraform
- chaves SSH privadas.
Até senhas salvas no navegador e conteúdos copiados na área de transferência podem ser roubados.
Risco para a cadeia de software
- Especialistas alertam que o malware pode ser usado em ataques de supply chain, onde criminosos comprometem bibliotecas e pacotes amplamente utilizados por empresas e desenvolvedores.
- O comportamento do QLNX lembra ataques recentes que usaram contas comprometidas para inserir código malicioso em pacotes com milhões de downloads.
Como se proteger
As principais recomendações incluem:
- ativar autenticação multifator
- revisar tokens e chaves de acesso
- monitorar alterações em PAM e LD_PRELOAD
- usar soluções EDR para Linux
- restringir acessos administrativos
- auditar pipelines e dependências de software.
O Quasar Linux é uma ameaça extremamente sofisticada voltada para ambientes de desenvolvimento e infraestrutura Linux. Sua capacidade de operar sem rastros, esconder processos e roubar credenciais críticas transforma o malware em um grande risco para empresas, desenvolvedores e toda a cadeia global de software.