新型Linux恶意软件QLNX攻击开发者系统

首页 > 安全钻研 > 安全传递 > 安全简讯

新型Linux恶意软件QLNX攻击开发者系统

颁布功夫 2026-05-07

1. 新型Linux恶意软件QLNX攻击开发者系统

5月5日，一种此前未被纪录的名为Quasar Linux（QLNX）的Linux植入法式，正利用rootkit、后门和凭证窃取职能攻击开发者系统。该恶意软件已部署在npm、PyPI、GitHub、AWS、Docker和Kubernetes等开发和DevOps环境中，可能导致供给链攻击。据趋向科技钻研人员分析，QLNX使用gcc在指标主机上动态编译rootkit共享对象和PAM后门�？�。其设计旨在实现荫蔽性和持久悠久性：在内存中运行，删除原始二进造文件，擦除日志，伪造过程名称，并断根取证环境变量。该恶意软件选取七种分歧的悠久化机造，蕴含LD_PRELOAD、systemd、crontab、init.d剧本、XDG自动启动和.bashrc注入，确保其加载到每个动态链接过程中，并在被终止后沉新天生。QLNX蕴含多个专用于特定活动的职能�？�，是一款齐全的攻击工具�；竦贸跏冀蛹ㄏ藓�，QLNX成立无文件安身点，部署悠久性和荫蔽机造，进而网络开发者和云凭证。通过攻击开发者工作站，攻击者可绕过企业安全节造，获取支持软件交付管路的痛处。这与此前产生的供给链攻击事务高度类似，即被盗用的开发者凭证被用于将木马化软件包颁布大公共存储库。

https://www.bleepingcomputer.com/news/security/new-stealthy-quasar-linux-malware-targets-software-developers/

2. DAEMON Tools遭植入木马，数千系统沦陷

5月5日，黑客在DAEMON Tools软件的装置法式中植入了木马，自4月8日以来已向数千个从官方网站下载该产品的系统植入了后门。这次供给链攻击导致100多个国度出现数千例习染，但第二阶段的恶意载荷仅部署在十几台机械上，批注这是一次针对高价值指标的定向攻击。接管下一阶段有效载荷的受害者蕴含俄罗斯、白俄罗斯和泰国的零售、科延注当局和造作组织。当用户下载并执行经过数字署名的木马装置法式后，嵌入在被入侵二进造文件中的恶意代码即被触发。该恶意代码会成立悠久性，并在系统启动时激活后门，服务器可远程批示系统下载并执行额表有效载荷。第一阶段的恶意软件是一个根基信息窃取法式，网络主机名、MAC地址、在运行的过程、已装置软件和系统区域设置等数据，用于受害者画像分析。凭据测试了局，部门系统会获得第二阶段——一个轻量级后门，可直接在内存中执行号令、下载文件和运行代码。在至少一路针对俄罗斯教育机构的案例中，卡巴斯基观察到部署了名为QUIC RAT的更高级恶意软件，该软件支持多种通讯和谈，并能将恶意代码注入合法过程。

https://www.bleepingcomputer.com/news/security/daemon-tools-trojanized-in-supply-chain-attack-to-deploy-backdoor/

3. Palo Alto Networks PAN-OS缝隙遭利用

5月6日，Palo Alto Networks近日发出忠告，其PAN-OS系统的一个严沉缝隙（编号CVE-2026-0300，CVSS评分9.3）已被恶意利用。该缝隙为缓冲区溢露马脚，允许未经身份验证的攻击者通过发送特造数据包，在PA系列和VM系列防火墙上以root权限执行肆意代码，尤其当用户ID身份验证门户露出于互联网时风险极高。Palo Alto Networks在安全布告中指出，该缝隙位于User-ID身份验证门户服务中，若依照最佳实际指南将该门户的接见权限限度为仅限受信赖的内部IP地址，则可大幅降低风险。该问题不会影响Prisma Access、Cloud NGFW和Panorama设备。目前，该缝隙尚未建复，预计将于2026年5月13日颁布补丁。Palo Alto Networks暗示，已发现针对用户ID身份验证门户露出于公共互联网的系统的有限领域缝隙利用行为。

https://securityaffairs.com/191748/security/palo-alto-networks-pan-os-flaw-exploited-for-remote-code-execution.html

4. 谷歌告白遭利用，ManageWP用户遭垂钓攻击

5月6日，一场通过谷歌赞助搜索了局提议的网络垂钓活动，正以获取ManageWP平台的登录痛处为指标。ManageWP是GoDaddy旗下用于集中治理WordPress网站群的平台，用户可通过一个节造面板远程治理多个网站，常见用户蕴含网站开发人员、网络代理机构及企业用户。威胁行为者选取中央人攻击步骤，通过虚伪登录页面充任受害者和合法ManageWP服务之间的实时期理。据Guardio Labs钻研人员忠告，针对“managewp”的搜索查问，虚伪了局会呈此刻真实了局上方，诱使依赖谷歌查找登录URL的用户点击。恶意链接将用户疏导至与真实登录页面齐全一样的伪造页面，输入的任何痛处城市被发送至攻击者节造的Telegram频路。与通例垂钓页面分歧，该活动选取实时AiTM机造，攻击者使用窃取的凭证实时登录平台，随后受害者会看到虚伪的双成分身份验证提醒，威胁行为者借此获取对ManageWP账户的齐全接见权限。

https://www.bleepingcomputer.com/news/security/hackers-abuse-google-ads-for-godaddy-managewp-login-phishing/

5. 亚马逊SES遭滥用，垂钓邮件绕过安全过滤

5月4日，据卡巴斯基汇报，亚马逊单一电子邮件服务正日益被滥用于发送拥有糊弄性的网络垂钓电子邮件，这些邮件可能绕过尺度安全过滤器并使基于诺言的阻止机造失效。由于亚马逊SES是一个合法且可信的服务，网络垂钓活动能够利用它发送可能通过身份验证查抄的恶意电子邮件�？ò退够暄腥嗽惫鄄斓嚼醚锹硌稴ES进行的网络垂钓攻击有所增长，这些攻击将用户沉定向至恶意网站。钻研人员以为，这种滥用的重要驱动成分是GitHub存储库、.ENV文件、Docker镜像、备份和可公开接见的S3存储桶中AWS凭证的露出水平越来越高。攻击者通常使用基于开源TruffleHog工具构建的机械人，通过自动化方式扫描泄露的密钥。此刻，威胁行为者依附自动化攻击简化奥秘扫描、权限验证和电子邮件分发，实现了前所未有的滥用水平。在验证密钥权限和发送限度后，攻击者即可大规模散布网络垂钓信息。

https://www.bleepingcomputer.com/news/security/researchers-report-amazon-ses-abused-in-phishing-to-evade-detection/

6. MuddyWater假装Chaos勒索软件执行间谍活动

5月6日，伊朗国度支持的黑客组织MuddyWater近期将其攻击行动假装成Chaos勒索软件攻击。只管这次攻击涉及凭证窃取、悠久化、远程接见、数据泄露、勒索邮件以及在Chaos泄密门户网站上的条款，但攻击者使用的基础设施和技术与MuddyWater亲昵有关。Rapid7调查的入侵事务始于Microsoft Teams社交工程，攻击者通过与员工谈天、成立屏幕共享会话、窃取痛处、把持多成分身份验证设置，并在某些情况下部署AnyDesk进行远程接见。凭证窃取通过假装成Microsoft Quick Assist的网络垂钓页面或诱骗受害者将密码输入本地文本文件实现。攻破账户后，攻击者通过RDP、DWAgent和AnyDesk等伎俩对内部系统进行身份验证并成立悠久性。随后，他们利用恶意软件加载法式投放自界说后门法式，该法式假装成Microsoft WebView2利用法式，具备反分析和反虚构机查抄职能，支持PowerShell和CMD号令执杏注文件上传和删除以及悠久shell接见等12个号令。

https://www.bleepingcomputer.com/news/security/muddywater-hackers-use-chaos-ransomware-as-a-decoy-in-attacks/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研