Novo vírus para Linux mira em desenvolvedores e pode infectar pacotes usados por milhões

Pesquisadores da Trend Micro descobriram um trojan de acesso remoto para Linux, batizado de Quasar Linux (QLNX). O malware foi identificado após o sistema de inteligência da empresa sinalizar uma amostra com detecção praticamente nula nos antivírus. Projetado para infectar máquinas de desenvolvedores, ele rouba credenciais de repositórios de código, ambientes de nuvem e registros públicos de pacotes como NPM e PyPI.

O QLNX não é um vírus comum. Ele funciona como uma ferramenta de espionagem e controle completo, capaz de operar por meses dentro de um sistema sem ser detectado. Uma vez instalado, o atacante consegue publicar pacotes maliciosos em nome da vítima, invadir infraestruturas de nuvem e se mover lateralmente por servidores conectados à máquina comprometida.

Malware apaga o próprio rastro logo após a execução

O primeiro movimento do QLNX ao rodar é copiar a si mesmo para a memória RAM do computador, reexecutar a partir desse espaço e apagar o arquivo original do disco. Basicamente, depois desse processo, não existe nenhum arquivo para um investigador encontrar. Toda a operação acontece a partir da memória, sem deixar rastro em disco.

Quasar Linux (1).png — Captura do tráfego de rede mostra os dois pacotes POST enviados pelo QLNX ao servidor de comando e controle durante a fase de registro, com o identificador de sessão sendo estabelecido na segunda requisição. Imagem: Trend Micro.

Para não chamar atenção, o malware também renomeia o próprio processo para imitar nomes de funções legítimas do sistema operacional Linux, como [kworker/0:0] ou [watchdog/0]. Isso porque ferramentas comuns de monitoramento, como o comando ps, mostrariam apenas um nome aparentemente inocente ao administrador do sistema. A camuflagem é aplicada em três lugares diferentes ao mesmo tempo para garantir consistência.

Malware se reinstala automaticamente

O QLNX oferece seis mecanismos diferentes de persistência, que podem ser ativados de forma combinada pelo atacante. O mais agressivo usa um recurso nativo do Linux chamado LD_PRELOAD, que força o sistema a carregar uma biblioteca do malware toda vez que qualquer programa é executado, inclusive comandos simples como ls ou ps.

Quasar Linux (2).png — Primeiro o malware consulta o serviço ip-api.com para identificar a geolocalização da vítima, depois inicia o handshake com o servidor de comando e controle enviando os dados do sistema infectado. Imagem: Trend Micro.

Isso significa que matar o processo do malware sem remover essa entrada primeiro não resolve o problema. Na prática, ele ressurge automaticamente no segundo seguinte.

O malware também se instala como serviço do sistema, entrada no crontab, script de inicialização e arquivo de autostart do ambiente gráfico. Cada um desses mecanismos funciona de forma independente, o que torna a remoção completa um processo complexo mesmo para profissionais experientes.

Rootkit esconde arquivos e processos

O QLNX implementa um rootkit em duas camadas para ocultar sua presença. Na primeira camada, ele compila diretamente na máquina infectada uma biblioteca que intercepta funções básicas do sistema, como listagem de arquivos e verificação de processos.

Quasar Linux (3).png — Estrutura do pacote de check-in enviado pelo QLNX ao servidor de controle. O pacote inclui versão do implante, sistema operacional, nível de privilégio, país, fingerprint SHA256 da máquina, nome de usuário, hostname e endereços IP ativos. Imagem: Trend Micro.

Ferramentas comuns de investigação, como ls e find, simplesmente não enxergam os arquivos do malware. O compilador usado é o próprio gcc da máquina alvo, o que elimina problemas de compatibilidade entre diferentes distribuições Linux.

Na segunda camada, o malware usa um recurso avançado do kernel Linux chamado eBPF para esconder processos, arquivos e portas de rede diretamente no núcleo do sistema operacional. Isso porque o eBPF permite interagir com o kernel sem precisar instalar drivers, tornando a ocultação muito mais profunda e difícil de detectar.

Backdoor captura senhas de todos os logins

O QLNX instala um módulo malicioso no sistema de autenticação do Linux, chamado PAM, que é responsável por processar logins no sistema, conexões SSH e comandos como sudo. Esse módulo intercepta as senhas no exato momento em que são digitadas, antes de qualquer criptografia, e as armazena em arquivos ocultos.

Quasar Linux (4).png — Protocolo binário completo do QLNX sobre TLS: o diagrama detalha os cinco passos da sessão, da conexão TCP inicial até o loop de comandos, incluindo os bytes exatos trocados em cada etapa. Imagem: Trend Micro.

O malware também inclui uma senha mestra própria que permite ao atacante autenticar em qualquer conta do sistema infectado.

Único comando rouba credenciais

Quando o operador aciona o comando de coleta de credenciais, o QLNX varre a máquina em busca de tokens NPM, chaves PyPI, credenciais AWS, arquivos de configuração do Kubernetes, login do Docker Hub, tokens do GitHub e chaves do HashiCorp Vault.

Ele também procura credenciais do Terraform, chaves SSH privadas, histórico de comandos do terminal, senhas salvas nos navegadores Chrome e Firefox e até o conteúdo copiado para a área de transferência naquele momento.

Quasar Linux (6).png — Código descompilado revela o registro dos 58 comandos suportados pelo QLNX, que cobrem desde shell remoto e gerenciamento de arquivos até injeção de processos, rootkit eBPF, rede P2P e execução de Beacon Object Files. Imagem: Trend Micro.

A Trend Micro aponta que esse perfil de ataque não é teórico. Em março de 2026, credenciais roubadas de um desenvolvedor foram usadas para injetar código malicioso no LiteLLM, pacote Python com 3,4 milhões de downloads diários.

O conjunto de capacidades do QLNX replica exatamente as etapas desse ataque, da infecção inicial à publicação de pacotes contaminados em registros públicos.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.