QLNX: Neuer Remote-Access-Trojaner zielt auf Linux-Entwickler

Mit Quasar Linux (QLNX) ist ein neuer Remote Access Trojan (RAT) aufgetaucht, der Systeme von Linux-Entwicklerinnen und -Entwicklern im Visier hat. Durch seine Kombination aus Rootkit‑Techniken, Credential‑Diebstahl und Tarnmechanismen versetzt das erstmals Anfang Mai von Trend Micro dokumentierte Linux-RAT Bedrohungsakteure in die Lage, einen kompletten und verdeckten Angriffs-Workflow durchzuführen.

Konkrete, durch QLNX verursachte Schadensfälle nennen die Sicherheitsforscher von Trend Micro nicht. In ihrer ausführlichen Analyse stufen sie das Bedrohungspotenzial dennoch als hoch ein, weil die Linux-Malware auf Entwickler‑ und DevOps‑Zugangsdaten in der gesamten Software‑Lieferkette abzielt und sich nur schwer von infizierten Systemen entfernen lässt.

Zum Zeitpunkt der Analyse schien Trend Micro der einzige AV-Anbieter mit detaillierten Detection-Regeln zu QLNX zu sein. Mittlerweile hat sich SOC Prime dazugesellt.

Ungebetener Dauergast

Auf infizierten Systemen stiehlt QLNX Geheimnisse zu npm, PyPI, GitHub, Amazon Web Services (AWS), Docker und Kubernetes. Informationen wie private SSH-Schlüssel, Browserlogins, Shell-Histories, der Inhalt der Zwischenablage sowie Passwörter, die im Linux‑PAM‑Authentifizierungsprozess unverschlüsselt vorliegen, stehen ebenfalls im Fokus der Datendiebe.

Die Informationen fließen über HTTPS, HTTP oder ein Custom-TLS-Protokoll an einen entfernten Server der Angreifer. Über den gleichen Kommunikationskanal empfängt die Malware auch Befehle. Durch seine P2P‑Mesh‑Funktion kann QLNX Daten zudem über andere kompromittierte Systeme weiterleiten, was seine Erkennung und Entfernung deutlich schwieriger macht.

Die gleiche Hartnäckigkeit legt QLNX auf infizierten Endgeräten an den Tag, denn dort betreibt es einigen Aufwand, um unauffällig im Hintergrund agieren zu können. Nach der Erstinfektion löscht das Linux-RAT seine Binärdateien, läuft fileless im Arbeitsspeicher weiter, fälscht seinen Prozessnamen, lässt Systemprotokolle verschwinden und installiert sieben redundante Persistenzmechanismen, um auch nach einer Teilbereinigung weiter aktiv bleiben zu können.

Seinen Namen verleiht sich Quasar Linux quasi selbst. Die Malware verwendet zur Installation systemd-Einträge wie ~/.config/systemd/user/quasar_linux.service und /etc/systemd/system/quasar_linux.service.

QLNX bringt alle Voraussetzungen mit, um eine Supply-Chain-Attacke à la LiteLLM durchzuführen. Zur Erinnerung: Am 24. März 2026 kompromittierten Cyberkriminelle über einen aus LiteLLMs CI/CD-Pipeline erbeuteten PyPI-Token zwei LiteLLM-Pakete (v1.82.7 und v1.82.8) im Python Package Index und versahen sie mit einem Credential-Stealer.

(mro)