安全研究人员发现一种名为Quasar Linux RAT（QLNX）的新型Linux恶意软件，主要针对开发者与DevOps环境。该恶意代码能窃取凭证、记录键盘输入、操控文件、监控剪贴板活动，并创建用于远程访问的网络隧道。专家警告称，通过攻击软件开发工作流中的系统，该木马将带来严重的供应链风险。

　　趋势微发布的报告指出："Quasar Linux RAT（QLNX）是功能完备的Linux植入程序，集远程访问能力与高级规避、持久化、键盘记录及凭证窃取功能于一体。其二进制文件中以字符串形式嵌入了PAM后门和LD_PRELOAD rootkit的C源代码，会使用gcc在目标主机动态编译rootkit共享对象和PAM后门模块，然后通过/etc/ld.so.preload部署实现系统级拦截。"

　　Part01

　　内存驻留与高级规避技术

　　QLNX是功能强大的Linux远程访问木马，其直接运行于内存以避免检测，使用eBPF隐藏活动痕迹，清除日志并检查是否运行在容器化环境中。该木马通过恶意PAM模块收集系统详情、剪贴板数据、shell历史记录、SSH密钥、Firefox配置文件及凭证等广泛信息。

　　QLNX通过加密通道与攻击者通信，支持远程shell访问、文件管理、代码注入、屏幕截图、键盘记录、SOCKS代理和网络隧道等多种命令。该恶意软件还包含多种持久化方法，可在系统重启后保持存活，维持对受感染Linux系统的长期访问。

　　Part02

　　无文件化运行与系统伪装