文章总结： 一种名为QuasarLinux的新型Linux恶意软件正针对软件开发人员，利用rootkit、后门和凭证窃取功能攻击开发环境。该恶意软件通过npm、PyPI等平台传播，采用内存运行、日志擦除等隐蔽技术，并具备七种持久化机制。其核心功能包括RAT控制、双层rootkit、凭证收集、监控模块及横向移动能力，旨在窃取开发者凭证以实施供应链攻击。趋势科技提供了IOC以协助防御，目前仅少数安全产品可检测该威胁。 综合评分： 85 文章分类： 恶意软件,漏洞预警,供应链安全,威胁情报,应用安全

新型隐蔽型 Quasar Linux 恶意软件盯上了软件开发人员

Rhinoer Rhinoer

犀牛安全

2026年5月8日 00:08 北京

在小说阅读器读本章

去阅读

一种此前未被记录的名为 Quasar Linux (QLNX) 的 Linux 植入程序，正利用 rootkit、后门和凭证窃取功能，攻击开发者的系统。

该恶意软件工具包已部署在 npm、PyPI、GitHub、AWS、Docker 和 Kubernetes 等开发和 DevOps 环境中。这可能导致供应链攻击，攻击者可以将恶意软件包发布到代码分发平台上。

网络安全公司趋势科技的研究人员分析了 QLNX 植入程序，发现“它使用 gcc [GNU 编译器集合] 在目标主机上动态编译 rootkit 共享对象和 PAM 后门模块”。

该公司本周发布的一份报告指出，QLNX 的设计旨在实现隐蔽性和长期持久性，因为它在内存中运行，从磁盘中删除原始二进制文件，擦除日志，伪造进程名称，并清除取证环境变量。

该恶意软件使用七种不同的持久化机制，包括 LD_PRELOAD、systemd、crontab、init.d 脚本、XDG 自动启动和 ‘.bashrc’ 注入，确保它加载到每个动态链接进程中，并在被杀死后重新生成。

QLNX 包含多个专用于特定活动的功能模块，使其成为一款完整的攻击工具。其核心组件可概括如下：

• RAT 核心— 围绕 58 个命令框架构建的中央控制组件，提供交互式 shell 访问、文件和进程管理、系统控制和网络操作，同时通过自定义 TCP/TLS 或 HTTP/S 通道与 C2 保持持久通信。
• Rootkit——一种双层隐蔽机制，结合了用户层 LD_PRELOAD rootkit 和内核级 eBPF 组件。用户层钩取 libc 函数以隐藏文件、进程和恶意软件痕迹，而 eBPF 层则在内核级别隐藏进程 ID (PID)、文件路径和网络端口。两者都是动态部署的，其中用户层 rootkit 在目标系统上编译。
• 凭证访问层— 将凭证收集（SSH 密钥、浏览器、云和开发人员配置、/etc/shadow、剪贴板）与基于 PAM 的后门相结合，拦截并记录明文身份验证数据。
• 监控模块——键盘记录、屏幕截图和剪贴板监控。
• 网络和横向移动——TCP隧道、SOCKS代理、端口扫描、基于SSH的横向移动和点对点网状网络。
• 执行和注入引擎——进程注入（ptrace、/proc/pid/mem）和有效载荷的内存执行（共享对象、BOF/COFF）。
• 文件系统监控——通过inotify实时跟踪文件活动。

获得初始访问权限后，QLNX 建立无文件立足点，部署持久性和隐蔽机制，然后收集开发者和云凭证。

通过攻击开发人员工作站，攻击者可以绕过企业安全控制，并访问支撑软件交付管道的凭据。

这种方法与最近发生的供应链事件类似，在这些事件中，被盗的开发者凭证被用来将植入木马的软件包发布到公共存储库中。

趋势科技尚未提供有关 QLNX 的具体攻击或归因的详细信息，因此这种新型恶意软件的部署量和具体活动水平尚不清楚。

截至发稿时，只有四款安全解决方案能够检测到 Quasar Linux 植入程序，并将其二进制文件标记为恶意程序。趋势科技已提供入侵指标 (IoC)，以帮助防御者检测 QLNX 感染并进行防御。

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《新型隐蔽型 Quasar Linux 恶意软件盯上了软件开发人员》