Mit Quasar Linux (QLNX) ist ein neuer Remote Access Trojan (RAT) aufgetaucht, der Systeme von Linux-Entwicklerinnen und -Entwicklern im Visier hat. Durch seine Kombination aus Rootkit‑Techniken, Credential‑Diebstahl und Tarnmechanismen versetzt das erstmals Anfang Mai von Trend Micro dokumentierte Linux-RAT Bedrohungsakteure in die Lage, einen kompletten und verdeckten Angriffs-Workflow durchzuführen.

Konkrete, durch QLNX verursachte Schadensfälle nennen die Sicherheitsforscher von Trend Micro nicht. In ihrer ausführlichen Analyse stufen sie das Bedrohungspotenzial dennoch als hoch ein, weil die Linux-Malware auf Entwickler‑ und DevOps‑Zugangsdaten in der gesamten Software‑Lieferkette abzielt und sich nur schwer von infizierten Systemen entfernen lässt.

Zum Zeitpunkt der Analyse schien Trend Micro der einzige AV-Anbieter mit detaillierten Detection-Regeln zu QLNX zu sein. Mittlerweile hat sich SOC Prime dazugesellt.

Ungebetener Dauergast

Auf infizierten Systemen stiehlt QLNX Geheimnisse zu npm, PyPI, GitHub, Amazon Web Services (AWS), Docker und Kubernetes. Informationen wie private SSH-Schlüssel, Browserlogins, Shell-Histories, der Inhalt der Zwischenablage sowie Passwörter, die im Linux‑PAM‑Authentifizierungsprozess unverschlüsselt vorliegen, stehen ebenfalls im Fokus der Datendiebe.

Die Informationen fließen über HTTPS, HTTP oder ein Custom-TLS-Protokoll an einen entfernten Server der Angreifer. Über den gleichen Kommunikationskanal empfängt die Malware auch Befehle. Durch seine P2P‑Mesh‑Funktion kann QLNX Daten zudem über andere kompromittierte Systeme weiterleiten, was seine Erkennung und Entfernung deutlich schwieriger macht.

Die gleiche Hartnäckigkeit legt QLNX auf infizierten Endgeräten an den Tag, denn dort betreibt es einigen Aufwand, um unauffällig im Hintergrund agieren zu können. Nach der Erstinfektion löscht das Linux-RAT seine Binärdateien, läuft fileless im Arbeitsspeicher weiter, fälscht seinen Prozessnamen, lässt Systemprotokolle verschwinden und installiert sieben redundante Persistenzmechanismen, um auch nach einer Teilbereinigung weiter aktiv bleiben zu können.

Seinen Namen verleiht sich Quasar Linux quasi selbst. Die Malware verwendet zur Installation systemd-Einträge wie ~/.config/systemd/user/quasar_linux.service und /etc/systemd/system/quasar_linux.service.

QLNX bringt alle Voraussetzungen mit, um eine Supply-Chain-Attacke à la LiteLLM durchzuführen. Zur Erinnerung: Am 24. März 2026 kompromittierten Cyberkriminelle über einen aus LiteLLMs CI/CD-Pipeline erbeuteten PyPI-Token zwei LiteLLM-Pakete (v1.82.7 und v1.82.8) im Python Package Index und versahen sie mit einem Credential-Stealer.

(mro)

Der Druck steigt auf die EU-Kommission, europäische Digitalgesetze konsequent durchzusetzen. In einem offenen Brief fordern dutzende zivilgesellschaftliche Organisationen EU-Kommissionspräsidentin Ursula von der Leyen (CDU) auf, den Digital Markets Act (DMA) „buchstabengetreu und frei von politischer Einflussnahme“ zu vollstrecken.

Ähnliche Töne kommen aus dem EU-Parlament. Externer Druck dürfe die Souveränität und Autonomie der EU bei der Festlegung ihrer eigenen Regeln nicht beeinträchtigen, mahnen die Abgeordneten in einer vergangene Woche verabschiedeten Resolution. Wirksame und verhältnismäßige Geldstrafen seien „unerlässlich, um Abschreckung zu gewährleisten und die Wirksamkeit des Gesetzes über digitale Märkte zu sichern“, so der Tenor der nicht bindenden Entschließung.

Hintergrund für die Appelle sind vermehrte Zeichen, dass die EU-Kommission Beißhemmungen gegenüber großen, vor allem in den USA ansässigen Tech-Unternehmen hat – genau die Unternehmen, deren Macht der DMA eigentlich einhegen soll. Das seit wenigen Jahren wirksame Gesetz macht sogenannten Gatekeepern, die in bestimmen Digitalsektoren übermäßig viel Marktmacht angesammelt haben, eine Reihe an Auflagen, um einen funktionierenden Wettbewerb sicherzustellen.

Ergebnis im Google-Verfahren überfällig

Zwar hat die EU-Kommission, die für die Aufsicht der Gatekeeper zuständig ist, zahlreiche Untersuchungen wegen Verdachts von DMA-Verletzungen eingeleitet. Vor über einem Jahr hatte sie etwa Google und Apple vorgeworfen, ihre App-Marktplätze nicht ausreichend zu öffnen. Zum anderen sollte Google in der Suchmaschine eigene Angebote für Shopping oder Reisen bevorzugt haben.

Auf das Ergebnis dieser Untersuchungen wartet die Öffentlichkeit jedoch weiterhin. Fällig wäre es Ende März gewesen. Darauf scheint sich Alphabet vorbereitet zu haben: Anonyme Quellen hatten der Nachrichtenagentur Reuters zufolge zu Beginn des Jahres in Aussicht gestellt, dass Google seine Wettbewerber prominenter in den Suchergebnissen anzeigen werde, um der drohenden Geldstrafe zu entgehen. Umgesetzt hat Google das nicht.

Von der Leyen soll auf der Bremse stehen

Tatsächlich soll die EU-Wettbewerbsabteilung zu dem Schluss gekommen sein, dass Alphabet gegen den DMA verstoßen habe, berichtete jüngst das Handelsblatt (€). Die Entscheidung – samt einer milliardenschweren Geldbuße – soll jedoch nach einer Intervention von Ursula von der Leyen wieder in der Schublade verschwunden sein.

Dem Fachblatt The Capitol Forum (€) zufolge soll die Kommissionspräsidentin bereits seit Januar auf der Bremse stehen. Anstelle einer Verurteilung setzte die Kommission seit Jahresanfang weitere Verfahren in die Welt: Unter anderem will sie Alphabet dabei unterstützen, das Android-Betriebssystem für Entwickler:innen weiter zu öffnen sowie Dritt-Anbietern den Zugriff auf bestimmte Daten der Google-Suchmaschine zu geben.

Auf Anfrage bestreitet die EU-Kommission die Vorwürfe. „Es gibt absolut keine politische Blockade von Fällen“, sagte heute ein Kommissionssprecher bei einem Presse-Briefing. Abgeschlossene Untersuchungen seien auch in ihrem Interesse. Es gehe nicht darum, eine Strafe nur der Strafe wegen zu verhängen. Eine Entscheidung werde von der Kommission erst dann final abgesegnet, wenn sie „technisch fertig und solide genug“ sei, so der Sprecher.

Europäische Digitalgesetze, neben dem DMA auch der Digital Services Act (DSA) oder die Datenschutz-Grundverordnung (DSGVO), sind für große Tech-Konzerne wie Alphabet oder Apple ein rotes Tuch. Jahrzehntelang konnten sie weitgehend ungehindert wachsen und bestimmte Marktsegmente besetzen, ohne auf nennenswerten Widerstand von Kartellbehörden zu stoßen. Vor allem der in der ersten Amtsperiode von der Leyens verabschiedete DMA hat das wachsende Ungleichgewicht auf digitalen Märkten im Visier.

Mit dem Wahlsieg Donald Trumps und seiner America-First-Agenda hat die Tech-Branche einen willigen Unterstützer in ihrem Kampf gegen angebliche Überregulierung gefunden. Unmittelbar nach seinem Amtsantritt im Januar 2025 legte der US-Präsident etwa in einem Memorandum mit Verweis auf DMA und DSA fest, US-amerikanische Unternehmen vor „Erpressung und unfairen Geldbußen aus dem Ausland“ schützen zu wollen.

Gedroht hatte Trump unter anderem mit Strafzöllen, die er einige Monate später tatsächlich vorstellte. Zwar konnte sich die EU im Spätsommer auf einen Deal mit den USA einigen, ohne auf dem Papier die Digitalgesetze anzufassen. Vom Tisch ist die Auseinandersetzung jedoch nicht: Bis heute haben sich die EU-Institutionen nicht darauf geeinigt, wie die Zollvereinbarung aus dem Vorjahr umgesetzt werden soll.

„Die EU-Kommission knickt ein“

Auch für die US-Seite ist die Angelegenheit nicht abgeschlossen. Hochrangige US-Vertreter schießen weiterhin gegen EU-Digitalgesetze und verknüpfen sie mit dem Handelsstreit. Die EU müsse ihre Regulierung von Big Tech lockern, um im Gegenzug geringere Zölle auf Stahl und Aluminium entrichten zu müssen, sagte US-Handelsminister Howard Lutnick im Herbst. Zugleich warnte der US-Botschafter bei der EU, Andrew Puzder, dass der DMA zu sehr auf US-amerikanische Tech-Konzerne ziele.

Im April war bekannt geworden, dass die EU-Kommission ein Gremium plant, um der Trump-Regierung entgegenzukommen. Darin soll sich die US-Regierung mit der EU zu Digitalregeln und Kartellverfahren abstimmen, wie die EU-Kommission dem Handelsblatt bestätigte.

Das nachgiebige und intransparente Vorgehen der EU-Kommission stößt jedoch immer mehr auf Kritik. Felix Duffy von der Nichtregierungsorganisation LobbyControl sagt etwa: „Die EU-Kommission knickt ein und sendet ein fatales Signal: Wenn Tech-Konzerne bei Verstößen gegen die EU-Digitalregeln keine Konsequenzen zu fürchten haben, bleiben Gesetze wie der DMA wirkungslos.“

Dem pflichtet Max Bank von der Organisation Rebalance Now bei: Zwar zeige der DMA Wirkung, drohe aber zum zahnlosen Tiger zu werden, weil die Kommission nicht konsequent handle. „Wenn selbst überfällige Strafzahlungen gegen Konzerne wie Google politisch gestoppt werden, untergräbt das die Glaubwürdigkeit des Gesetzes“, sagt Bank.

Der Welt-Passwort-Tag erinnert daran, dass Zugangsdaten sicher sein sollten. Was ursprünglich mal lediglich Komplexität und Wiederverwendung bedeutet, inzwischen jedoch deutlich bessere Sicherheitsmechanismen meint.

Die ewige Statistik listet bei allen möglichen Passwort-Datenlecks noch immer die „123456“ und ähnliche Passwörter als häufig verwendet auf. Natürlich sollten Passwörter komplexer sein und längere Zeichenfolgen mit Groß- und Kleinschrift sowie Sonderzeichen und Zahlen umfassen. Und für jeden Zugang bitte eine eigene Variante. Hierbei helfen unter anderem auch kostenlos verfügbare Passwort-Manager, die sich um die Merkarbeit kümmern und nach Eingabe des Masterpassworts oder nach biometrischer Authentifizierung die Zugangsdaten freigeben.

Da jedoch immer wieder Einbrüche in IT-Systeme und dabei abfließende Informationen wie Zugangsdaten stattfinden, sollte das Sicherheitskonzept sich nicht auf die einfache Kombination aus Username und Passwort beschränken. Sonst können Angreifer damit direkt in die Konten von Betroffenen eindringen.

Passwörter: Aufbrezeln oder ersetzen

Wo es möglich ist, sollten Nutzer und Nutzerinnen daher eine Mehr-Faktor-Authentifizierung aktivieren. Durch den Nachweis des Besitzes eines weiteren Faktors muss sich der Kontoinhaber bei Logins ausweisen. Das ist etwa eine Zahlenkombination aus einem Authenticator, der auf dem Smartphone läuft. Die schlechteren Alternativen wären Zweifaktoren mittels E-Mail oder SMS. Auf die sollten Angreifer keinen Zugriff haben und der Zugang dadurch verwehrt bleiben.

Allerdings sind Kriminelle da schon länger drauf vorbereitet. Sie setzen bei Phishing-Kampagnen darauf, in Echtzeit mit potenziellen Opfern in Kontakt zu stehen und dabei die Freigabe mittels Zusatzfaktor auszuhebeln.

Ideal ist daher der Umstieg auf Passkeys. Die bieten immer mehr Unternehmen an, um sicherer auf die Online-Konten zuzugreifen. Dabei kommen keine Passwörter mehr zum Einsatz, sondern es handelt sich um einen Schutz basierend auf kryptografischen Zertifikaten. Gegenstellen weisen sich damit als echt aus. Angreifer können sich mangels privaten Schlüssels nicht als die Person ausgeben, die sie gerade angreifen. Inzwischen können auch zahlreiche Passwort-Manager mit Passkeys umgehen und sie sogar geräteübergreifend nutzbar machen.

Siehe auch:

(dmk)