Des chercheurs de Trend Micro ont mis au jour un implant Linux jusqu’alors inconnu, baptisé Quasar Linux ou QLNX. Ce malware polyvalent combine les fonctions d’un rootkit, d’une backdoor et d’un voleur de credentials, en visant principalement les environnements de développement et DevOps.
Les acteurs malveillants déploient ce kit dans des plateformes comme npm, PyPI, GitHub, AWS, Docker et Kubernetes. Une telle stratégie ouvre la porte à des attaques sur la chaîne d’approvisionnement logicielle, via la publication de paquets malveillants.
Capacités de furtivité et persistance
L’implant se compile dynamiquement sur la machine cible à l’aide de gcc, pour générer des objets partagés de rootkit et des modules PAM de backdoor. Conçu pour une discrétion maximale et une présence prolongée, QLNX s’exécute en mémoire, supprime son binaire initial du disque, efface les journaux, masque les noms de processus et neutralise les variables d’environnement forensiques.
Sept mécanismes assurent sa résilience : LD_PRELOAD, systemd, crontab, scripts init.d, autodemarrage XDG, et injection dans .bashrc. Ainsi, il s’intègre à tous les processus liés dynamiquement et se relance en cas de terminaison.
Modules fonctionnels du malware
QLNX intègre plusieurs blocs spécialisés. Le noyau RAT repose sur un framework de 58 commandes, offrant un shell interactif, la gestion de fichiers et processus, le contrôle système, et des opérations réseau via des canaux TCP/TLS ou HTTP/S personnalisés vers le serveur de commande.
Le rootkit adopte une double couche : un niveau utilisateur via LD_PRELOAD qui intercepte les fonctions libc pour masquer fichiers, processus et artefacts, et un niveau noyau avec eBPF cachant les PID, chemins de fichiers et ports réseau. Les deux se déploient de manière dynamique.
La couche d’accès aux credentials récolte les clés SSH, données de navigateurs, configurations cloud et développeur, /etc/shadow et presse-papiers, tout en utilisant des backdoors PAM pour intercepter les authentifiants en clair.
Un module de surveillance capture les frappes au clavier, prend des captures d’écran et surveille le presse-papiers. Les fonctions réseau incluent tunneling TCP, proxy SOCKS, scans de ports, déplacement latéral via SSH et réseau maillé peer-to-peer.
L’injection de processus utilise ptrace et /proc/pid/mem, avec exécution en mémoire de charges comme des objets partagés ou BOF/COFF. Un suivi des fichiers en temps réel repose sur inotify.
Déroulement de l’attaque et détection
Une fois l’accès initial obtenu, QLNX installe un pied-à-terre sans fichiers, active ses mécanismes de persistance et furtivité, puis extrait les credentials de développeurs et cloud. En attaquant les postes de travail des développeurs, les assaillants contournent les protections d’entreprise pour atteindre les pipelines de livraison logicielle.
Cette tactique évoque des incidents récents de chaîne d’approvisionnement exploitant des credentials volés pour diffuser des paquets piégés. Trend Micro n’a divulgué ni détails sur des attaques précises ni attribution. À ce jour, seules quatre solutions de sécurité identifient le binaire comme malveillant. L’entreprise fournit des IoCs pour détecter et contrer les infections.