New stealthy Quasar Linux malware targets software developers

1 minute de lecture

Mis à jour : May 06, 2026

Quasar Linux : Une menace furtive ciblant les environnements de développement

Le malware Quasar Linux (QLNX) est un implant sophistiqué conçu pour infiltrer les systèmes des développeurs et les environnements DevOps (npm, PyPI, GitHub, Docker, Kubernetes). Fonctionnant en mémoire et capable de s’auto-compiler sur la cible, il est optimisé pour une persistance à long terme et une furtivité maximale.

Points clés :

Architecture modulaire : Le malware intègre un RAT (58 commandes), des capacités de surveillance (keylogging, captures d’écran), et des outils de mouvement latéral.
Furtivité avancée : Utilisation d’un rootkit à deux couches combinant LD_PRELOAD (espace utilisateur) et eBPF (noyau) pour masquer processus, fichiers et connexions réseau.
Persistance multiple : Sept mécanismes assurent sa réactivation, notamment via systemd, crontab, init.d et l’injection dans .bashrc.
Ciblage métier : En compromettant les postes des développeurs, les attaquants visent à dérober des identifiants (SSH, cloud, jetons d’API) pour mener des attaques sur la chaîne d’approvisionnement logicielle.

Vulnérabilités exploitées :

Aucune CVE spécifique n’est mentionnée, car le malware s’appuie sur des mécanismes système légitimes détournés (gcc, PAM, eBPF) et des injections de code pour maintenir son emprise.

Recommandations :

Surveillance des processus : Auditer les configurations systemd, les tâches cron suspectes et les scripts d’autostart (XDG).
Intégrité système : Surveiller l’utilisation inhabituelle de gcc ou de compilateurs sur les postes de travail où cela n’est pas requis.
Contrôle des accès : Sécuriser les clés SSH et les fichiers de configuration cloud ; limiter l’usage de modules PAM tiers non vérifiés.
Détection : Utiliser les indicateurs de compromission (IoC) fournis par Trend Micro pour identifier les traces de fichiers ou les comportements réseau anormaux (canaux TCP/TLS ou HTTP/S personnalisés).
Hygiène logicielle : Vérifier systématiquement l’intégrité des packages tiers importés dans les pipelines CI/CD avant leur déploiement.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

New stealthy Quasar Linux malware targets software developers

Quasar Linux : Une menace furtive ciblant les environnements de développement

Partager sur

Vous pourriez aimer

Your AI Agents Are Already Inside the Perimeter. Do You Know What Theyre Doing?

La gouvernance des agents IA : Maîtriser la « matière noire » de l’identité

Windows Phone Link Exploited by CloudZ RAT to Steal Credentials and OTPs

Détournement de l’application « Mobile connecté » par le malware CloudZ

Why ransomware attacks succeed even when backups exist

La vulnérabilité des sauvegardes face aux ransomwares

Weekly Update 502

L’ascension du groupe ShinyHunters par l’ingénierie sociale