Quasar Linux (QLNX): Linux RAT 58 lệnh nhắm vào developer, ẩn mình qua LD_PRELOAD và eBPF

QLNX là Linux RAT chưa từng được ghi nhận trước đây, nặng 147,91 KB nhưng chứa 58 command handler bao gồm rootkit hai lớp, PAM backdoor tự biên dịch và mạng P2P mesh. Chạy lệnh 'ls' bình thường cũng có thể kích hoạt lại malware nhờ cơ chế LD_PRELOAD persistence. Mục tiêu: đánh cắp NPM/PyPI tokens, AWS credentials, SSH keys để thực hiện supply chain attack - đúng kill chain vụ LiteLLM tháng 3/2026 ảnh hưởng 3,4 triệu lượt tải mỗi ngày. Hiện chưa có Yara signature và chỉ rất ít AV phát hiện được.