we are developers

iMaster Developers

iMaster DevelopersPowered by:

Notícias

12 mai, 2026

Vírus Quasar Linux espiona devs por meses sem deixar rastro no disco

Redação iMasters

Redação iMasters
Publicidade

Imagine descobrir que sua máquina de desenvolvimento está comprometida há três meses. Pior: que durante esse tempo, alguém publicou pacotes maliciosos no NPM usando seu token, acessou sua infraestrutura AWS e se moveu lateralmente pelos servidores da sua empresa. Esse é exatamente o cenário que o novo vírus Quasar Linux (QLNX) torna possível, e pesquisadores da Trend Micro acabam de revelar como ele opera.

Curiosamente, o malware foi identificado porque o sistema de inteligência da empresa detectou uma amostra com taxa de detecção praticamente nula nos antivírus tradicionais. Em outras palavras, ele estava passando despercebido. Além disso, o alvo é bem definido: desenvolvedores com acesso a repositórios de código, ambientes de nuvem e registros públicos de pacotes.

Por que esse vírus assusta a comunidade dev

Primeiramente, o QLNX não é apenas mais um trojan de acesso remoto. Ele funciona como uma ferramenta completa de espionagem e controle, capaz de operar por meses sem ser detectado. Assim, uma vez instalado, o atacante pode publicar pacotes maliciosos em nome da vítima.

Além disso, ele consegue invadir infraestruturas de nuvem conectadas à máquina. Por fim, o movimento lateral por servidores expostos amplia muito o estrago. Para quem mantém bibliotecas com milhões de downloads, o risco é catastrófico.

Como o vírus apaga o próprio rastro em segundos

O primeiro movimento do QLNX ao rodar é copiar a si mesmo para a memória RAM. Em seguida, ele se reexecuta a partir desse espaço e apaga o arquivo original do disco. Basicamente, depois desse processo, não existe arquivo para um investigador encontrar.

Toda a operação acontece a partir da memória. Portanto, ferramentas tradicionais de análise forense ficam praticamente cegas. Esse comportamento, conhecido como fileless, já era comum em malwares para Windows, mas ainda é raro no mundo Linux.

Ademais, o vírus renomeia o próprio processo para imitar funções legítimas do kernel, como [kworker/0:0] ou [watchdog/0]. Ferramentas como o comando ps mostram apenas um nome aparentemente inocente. A camuflagem é aplicada em três lugares diferentes ao mesmo tempo para garantir consistência.

Seis formas de persistência ao mesmo tempo

O QLNX oferece seis mecanismos diferentes de persistência. Eles podem ser ativados de forma combinada pelo atacante, conforme a necessidade.

O mais agressivo usa um recurso nativo do Linux chamado LD_PRELOAD. Esse mecanismo força o sistema a carregar uma biblioteca do malware toda vez que qualquer programa é executado. Inclusive comandos simples como ls ou ps disparam essa carga.

Consequentemente, matar o processo do malware sem remover essa entrada primeiro não resolve nada. Na prática, ele ressurge no segundo seguinte. Além desse mecanismo, o vírus se instala como:

  • Serviço do sistema (systemd)
  • Entrada no crontab
  • Script de inicialização
  • Arquivo de autostart do ambiente gráfico

Cada um desses mecanismos funciona de forma independente. Portanto, a remoção completa se torna um processo complexo até para profissionais experientes.

Rootkit em duas camadas: o que muda no jogo

O QLNX implementa um rootkit em duas camadas para ocultar sua presença. Essa abordagem dupla é o que faz dele algo tão difícil de caçar.

Primeira camada: compilação local

Inicialmente, o malware compila diretamente na máquina infectada uma biblioteca que intercepta funções básicas do sistema. Listagem de arquivos e verificação de processos passam a mentir. Ferramentas como ls e find simplesmente não enxergam os arquivos do malware.

Aliás, o compilador usado é o próprio gcc da máquina alvo. Isso elimina problemas de compatibilidade entre diferentes distribuições Linux. Em outras palavras, funciona em Ubuntu, Debian, Fedora, Arch e o que mais houver.

Segunda camada: eBPF no kernel

Por outro lado, a segunda camada usa um recurso avançado chamado eBPF. Com ele, o malware esconde processos, arquivos e portas de rede diretamente no núcleo do sistema operacional. O eBPF permite interagir com o kernel sem precisar instalar drivers, o que torna a ocultação muito mais profunda.

Como resultado, técnicas convencionais de detecção de rootkit ficam ineficazes. Ferramentas como chkrootkit e rkhunter simplesmente não foram pensadas para esse cenário.

Backdoor no PAM captura toda senha digitada

Outro ponto crítico é o módulo malicioso instalado no PAM (Pluggable Authentication Modules). Esse módulo é responsável por processar logins, conexões SSH e comandos sudo.

Em síntese, o módulo intercepta as senhas no exato momento em que são digitadas. Antes de qualquer criptografia. Depois disso, as armazena em arquivos ocultos. Ou seja, toda vez que você digita sudo para instalar um pacote, sua senha vai parar nas mãos do atacante.

Um comando, todas as suas credenciais (vírus)

Quando o operador aciona o comando de coleta de credenciais, o QLNX varre a máquina inteira. A lista do que ele procura é praticamente o pesadelo de qualquer dev:

  • Pacotes: tokens NPM e chaves PyPI
  • Cloud: credenciais AWS, configs do Kubernetes, login do Docker Hub
  • Código: tokens do GitHub e chaves do HashiCorp Vault
  • IaC: credenciais do Terraform
  • Acesso: chaves SSH privadas
  • Sessão: histórico do terminal, área de transferência
  • Navegador: senhas salvas no Chrome e Firefox

Portanto, basta uma máquina comprometida para que toda a cadeia de suprimentos de software de um time vire arena aberta.

O que fazer agora: checklist prático

Embora a Trend Micro ainda esteja mapeando os indicadores de comprometimento, alguns cuidados já podem ser adotados imediatamente:

  1. Audite seus tokens. Revogue e gere novos tokens NPM, PyPI, GitHub e AWS, principalmente em máquinas que rodam Linux há muito tempo.
  2. Monitore publicações. Verifique no histórico do NPM e PyPI se há pacotes publicados em nome da sua conta que você não reconhece.
  3. Use 2FA obrigatório. Ative autenticação de dois fatores em todos os registros de pacotes.
  4. Inspecione o LD_PRELOAD. Rode cat /etc/ld.so.preload e verifique se há bibliotecas desconhecidas listadas.
  5. Audite módulos PAM. Cheque /etc/pam.d/ por entradas suspeitas adicionadas recentemente.
  6. Considere ferramentas eBPF-aware. Soluções como Falco e Tetragon detectam comportamento suspeito no nível do kernel.

O recado para a comunidade dev

Finalmente, o surgimento do QLNX confirma uma tendência preocupante. Atacantes estão investindo cada vez mais em malware sofisticado direcionado a desenvolvedores, não a usuários finais. A razão é simples: comprometer um dev é comprometer toda a cadeia.

Em resumo, esse novo vírus combina técnicas que antes existiam apenas em campanhas de APT estatais. Agora, elas chegam empacotadas em um trojan de acesso remoto. Por isso, vale revisar urgentemente a higiene de credenciais e os mecanismos de detecção da sua máquina de trabalho.

A boa notícia? Quem mantém boas práticas de segurança operacional já está vários passos à frente. A má notícia é que o nível mínimo aceitável dessa higiene acabou de subir.

Acompanhe nosso Perfil no Instagram!

Redação iMasters
Saiba mais

Redação iMasters

Matérias especiais e reportagens conduzidas internamente pela Redação iMasters. Acompanhe no Twitter @imasters e no Instagram/Threads @portalimasters