LD_PRELOAD

🔍 Contexte Publié le 4 mai 2026 par les chercheurs Aliakbar Zahravi et Ahmed Mohamed Ibrahim de Trend Micro, cet article présente l’analyse technique complète de Quasar Linux (QLNX), un implant Linux précédemment non documenté découvert via une approche de threat hunting assistée par IA. Le malware présente un taux de détection très faible et cible spécifiquement les environnements de développement logiciel. 🎯 Cibles et objectifs QLNX est conçu pour compromettre les développeurs et équipes DevOps afin d’infiltrer la chaîne d’approvisionnement logicielle. Son module de credential harvesting cible explicitement : ...

Cet article publié par Sandfly Security alerte sur une menace croissante pour les systèmes Linux : les rootkits de type LD_PRELOAD tels que Medusa. Ces rootkits interceptent les appels de bibliothèques dynamiques pour masquer des activités malveillantes, telles que des fichiers, processus et connexions réseau, aux commandes système standard. Medusa fonctionne en utilisant des mécanismes LD_PRELOAD pour prioriser les bibliothèques malveillantes par rapport aux légitimes, affectant ainsi des commandes comme ls, ps et netstat. Pour détecter ces rootkits, il est recommandé d’utiliser des binaires statiques tels que BusyBox, qui ne dépendent pas des bibliothèques dynamiques et incluent tout le code nécessaire en interne, les rendant ainsi immunisés contre l’interception des bibliothèques. ...