Wenn du als Entwickler oder DevOps unter Linux arbeitest, lies das hier zu Ende. Trend Micro hat mit Quasar Linux RAT (QLNX) eine bisher undokumentierte Linux-Malware-Familie entdeckt, die gezielt deine Tokens jagt. Nicht Daten, nicht Krypto — Tokens. Genau die Schlüssel, mit denen Angreifer deinen npm-Account übernehmen oder ein vergiftetes PyPI-Paket pushen.
SCHOCK: Was QLNX wirklich abgreift
Der Credential-Harvester durchforstet Files mit hohem Wert:
.npmrc— npm-Tokens für Publish.pypirc— PyPI-Credentials.git-credentials— Git-Push-Zugänge.aws/credentialsund.aws/config.kube/config— Cluster-Zugänge.docker/config.json— Registry-Logins.vault-token— HashiCorp Vault- GitHub-CLI-Tokens unter
.config/gh/ .env-Dateien in Projekt-Roots
Heißt im Klartext: Wer einmal QLNX auf der Devbox hat, dem klauen die Angreifer alles, was nötig ist, um deinen nächsten npm-Push zu vergiften. So lief schon im März 2026 der LiteLLM-Supply-Chain-Hack — ein Python-Paket mit 3,4 Millionen Downloads pro Tag.
UNGLAUBLICH: Rootkit wird zur Laufzeit kompiliert
QLNX hat sowohl den C-Sourcecode für seinen PAM-Backdoor als auch fürs LD_PRELOAD-Rootkit als String-Literale im Binary. Beim Befall ruft die Malware gcc auf dem Zielsystem auf, kompiliert die Module direkt vor Ort und schiebt sie über /etc/ld.so.preload in jeden Prozess.
Das System hat damit gleich drei Probleme: Eine PAM-Hintertür, mit der jeder Login per Magic-Passwort durchgeht. Ein Rootkit, das Prozesse und Dateien versteckt. Und ein Userland-Implant, der jederzeit nachladen kann.
GEFAHR: Sieben Persistenzpfade gleichzeitig
QLNX setzt sich auf mindestens sieben Wegen fest:
- systemd-Services
- crontab-Jobs (User und Root)
~/.bashrc-Injektionen~/.profileund~/.bash_profile- autostart-XDG-Einträge
/etc/rc.local-Hooks~/.config/systemd/user/-Units
Wer eine Methode aufräumt, wird beim nächsten Reboot trotzdem reinfiziert. Saubere Beseitigung heißt: Image neu, Tokens rotieren, Backup auf Integrität prüfen.
So checkst DU dein System in 5 MINUTEN
Drei Schnellchecks, die jede Devbox sofort verträgt:
# 1) ld.so.preload pruefen — sollte leer sein
cat /etc/ld.so.preload 2>/dev/null
# 2) PAM-Module nach unbekannten .so durchsehen
ls -la /lib/x86_64-linux-gnu/security/
# 3) bashrc auf fremde source-Lines
grep -E '(curl|wget|nc|bash -i)' ~/.bashrc /etc/profile.d/*.shFindest du auch nur einen merkwürdigen Eintrag, gilt: System als kompromittiert behandeln. Token-Rotation für npm, PyPI, GitHub, AWS und alle Cloud-Provider ist Pflicht.
EXTRA-TIPP: Tokens NIE mehr im Klartext
Damit dich der nächste QLNX nicht wieder erwischt: Pass-Manager wie 1Password CLI oder Bitwarden Secrets Manager liefern Tokens nur on-demand und in den Speicher, nicht auf die Platte. AWS-Sessions kannst du über aws sso login kurzlebig halten. GitHub-Tokens lassen sich auf 7 Tage befristen.
FAZIT: Tokens rotieren — JETZT
QLNX ist die nächste Eskalationsstufe der Supply-Chain-Angriffe auf Open-Source-Ökosysteme. Wer Linux entwickelt, gehört zur Zielgruppe. Diese Woche: Tokens rotieren, ld.so.preload prüfen, Pass-Manager-CLI ausrollen.
Häufige Fragen
Welche Systeme sind betroffen?
Wie merke ich, dass ich infiziert bin?
/etc/ld.so.preload, unbekannte .so-Dateien unter /lib/x86_64-linux-gnu/security/ sowie cron- und systemd-Jobs, die du nicht angelegt hast. Trend Micro hat Yara-Regeln und IOCs veröffentlicht.Reicht es, die Malware zu löschen?
Wie kommt QLNX überhaupt aufs System?
curl url | bash ausführen.Quellen: The Hacker News, Trend Micro Research, SecurityWeek