Hackers a la caza de Linux: tras Copy Fail, un nuevo malware se infiltra en npm, PyPI y GitHub para robar credenciales

Si bien es cierto que Linux se considera uno de los sistemas operativos más seguros del mundo, ninguno puede decir que está totalmente protegido de los ataques por parte de ciberdelincuentes. Justo cuando todavía se están recuperando del problema con Copy Fail, llega un nuevo invitado no deseado.

Con nombre Quasar Linux (QLNX), hablamos de un malware creado específicamente para cazar a desarrolladores, administradores de sistemas y expertos en el sector. Su objetivo es conseguir infiltrarse en sus cuentas.

El problema es que ya ha conseguido colarse en repositorios de código como npm, PyPI y GitHub, además de entornos de nube como AWS, Docker y Kubernetes. 

De forma simple, si consiguen infectar el ordenador de un programador, pueden robar sus credenciales y publicar actualizaciones falsas en paquetes de software legítimos. Con esto, un solo desarrollador infectado puede acabar contagiando a miles de empresas.

Microsoft promete corregir todo lo que más odias de Windows 11, pero seguramente ya sea demasiado tarde

Para conseguirlo, QLNX utiliza una técnica llamada compilación dinámica. Cuando el malware llega a tu PC, utiliza el compilador propio de Linux (gcc) para crear sus propias herramientas de espionaje ese ese mismo momento. Esto le permite crear puestas traseras y módulos que se integran perfectamente en tu sistema, ocultándose para que jamás sea descubierto.

Una vez que se instala, se convierte en un fantasma: se ejecuta solo en la memoria RAM, borra el archivo original del disco duro para que no quede rastro y limpia los registros del sistema. Incluso es capaz de cambiar su nombre en la lista de procesos para que, si miras el monitor de actividad, creas que es una tarea más del sistema. 

Pero eso no es lo peor. Cuenta con un módulo dedicado solo para hacerse con credenciales: llaves SSH, contraseñas guardadas en el navegador, configuraciones de la nube y hasta lo que tengas copiado en el portapapeles.

Rizando el rizo, instala otro programa que, básicamente, cada vez que haces un login, le estás mandando tu contraseña directamente a los atacantes sin que aparezca ni un solo aviso.

Claude Mythos hace temblar Europa: el BCE pide a los bancos que se preparen para lo peor

Linux no levanta cabeza y Quasar Linux se junta con la vulnerabilidad Copy Fail

Lo cierto es que, pese a la velocidad del sistema para avisar y parchear este tipo de hackeos, se puede afirmar que vive una oleada de ataques que tienen como gran objetivo abrir de par en par las puertas de este sistema operativo. 

Copy Fail, por ejemplo, es una vulnerabilidad descubierta que ha estado en el núcleo del sistema desde el año 2017. Se trata de un error en el código encargado de las plantillas criptográficas.

Si te preguntas cómo es que ha podido estar encondido tanto tiempo, la respuesta está en la inteligencia artificial. El investigador Taeyang Lee encontró este fallo con una herramienta de escaneo de código potenciada por IA llamada Xint Code y gracias a esa tecnología mapeando el código línea por línea se pudo encontrar. De otra forma, y teniendo en cuenta la antiguedad, resulta casi imposible para el ser humano.

Teniendo en cuenta su peligrosidad y pese a que rápidamente lanzaron parches para todo tipo de distros, la agencia CISA de Estados Unidos ha dado la voz de alarma: ya hay indicios de que este error (bautizado técnicamente como CVE-2026-31431) está siendo explotado en el mundo real.

Es por ese motivo que los expertos recomiendan, además de parchear, revisar los registros de actividad o logs en busca de comportamientos raros. Si ves procesos que no deberían tener permisos elevados haciendo cosas extrañas en la memoria, podrías haber sido una de las víctimas de estos primeros ataques.