){kind=link}
Pesquisadores da Trend Micro descobriram um trojan de acesso remoto para Linux, batizado de Quasar Linux (QLNX). O malware foi identificado após o sistema de inteligência da empresa sinalizar uma amostra com detecção praticamente nula nos antivírus. Projetado para infectar máquinas de desenvolvedores, ele rouba credenciais de repositórios de código, ambientes de nuvem e registros públicos de pacotes como NPM e PyPI.
O QLNX não é um vírus comum. Ele funciona como uma ferramenta de espionagem e controle completo, capaz de operar por meses dentro de um sistema sem ser detectado. Uma vez instalado, o atacante consegue publicar pacotes maliciosos em nome da vítima, invadir infraestruturas de nuvem e se mover lateralmente por servidores conectados à máquina comprometida.
smart_display
Nossos vídeos em destaque
Malware apaga o próprio rastro logo após a execução
O primeiro movimento do QLNX ao rodar é copiar a si mesmo para a memória RAM do computador, reexecutar a partir desse espaço e apagar o arquivo original do disco. Basicamente, depois desse processo, não existe nenhum arquivo para um investigador encontrar. Toda a operação acontece a partir da memória, sem deixar rastro em disco.
Para não chamar atenção, o malware também renomeia o próprio processo para imitar nomes de funções legítimas do sistema operacional Linux, como [kworker/0:0] ou [watchdog/0]. Isso porque ferramentas comuns de monitoramento, como o comando ps, mostrariam apenas um nome aparentemente inocente ao administrador do sistema. A camuflagem é aplicada em três lugares diferentes ao mesmo tempo para garantir consistência.
Malware se reinstala automaticamente
O QLNX oferece seis mecanismos diferentes de persistência, que podem ser ativados de forma combinada pelo atacante. O mais agressivo usa um recurso nativo do Linux chamado LD_PRELOAD, que força o sistema a carregar uma biblioteca do malware toda vez que qualquer programa é executado, inclusive comandos simples como ls ou ps.
)
Isso significa que matar o processo do malware sem remover essa entrada primeiro não resolve o problema. Na prática, ele ressurge automaticamente no segundo seguinte.
O malware também se instala como serviço do sistema, entrada no crontab, script de inicialização e arquivo de autostart do ambiente gráfico. Cada um desses mecanismos funciona de forma independente, o que torna a remoção completa um processo complexo mesmo para profissionais experientes.
Rootkit esconde arquivos e processos
O QLNX implementa um rootkit em duas camadas para ocultar sua presença. Na primeira camada, ele compila diretamente na máquina infectada uma biblioteca que intercepta funções básicas do sistema, como listagem de arquivos e verificação de processos.
)
Ferramentas comuns de investigação, como ls e find, simplesmente não enxergam os arquivos do malware. O compilador usado é o próprio gcc da máquina alvo, o que elimina problemas de compatibilidade entre diferentes distribuições Linux.
Na segunda camada, o malware usa um recurso avançado do kernel Linux chamado eBPF para esconder processos, arquivos e portas de rede diretamente no núcleo do sistema operacional. Isso porque o eBPF permite interagir com o kernel sem precisar instalar drivers, tornando a ocultação muito mais profunda e difícil de detectar.
Backdoor captura senhas de todos os logins
O QLNX instala um módulo malicioso no sistema de autenticação do Linux, chamado PAM, que é responsável por processar logins no sistema, conexões SSH e comandos como sudo. Esse módulo intercepta as senhas no exato momento em que são digitadas, antes de qualquer criptografia, e as armazena em arquivos ocultos.
)
O malware também inclui uma senha mestra própria que permite ao atacante autenticar em qualquer conta do sistema infectado.
Único comando rouba credenciais
Quando o operador aciona o comando de coleta de credenciais, o QLNX varre a máquina em busca de tokens NPM, chaves PyPI, credenciais AWS, arquivos de configuração do Kubernetes, login do Docker Hub, tokens do GitHub e chaves do HashiCorp Vault.
Ele também procura credenciais do Terraform, chaves SSH privadas, histórico de comandos do terminal, senhas salvas nos navegadores Chrome e Firefox e até o conteúdo copiado para a área de transferência naquele momento.
)
A Trend Micro aponta que esse perfil de ataque não é teórico. Em março de 2026, credenciais roubadas de um desenvolvedor foram usadas para injetar código malicioso no LiteLLM, pacote Python com 3,4 milhões de downloads diários.
O conjunto de capacidades do QLNX replica exatamente as etapas desse ataque, da infecção inicial à publicação de pacotes contaminados em registros públicos.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.