Новий зразок шкідливого ПЗ для Linux під назвою *Plague*, виявлений фахівцями Nextron Systems, залишався непоміченим понад рік. Він забезпечує потайний SSH-доступ до скомпрометованих систем, обходить автентифікацію та знищує всі цифрові сліди зловмисника.

Plague — це шкідливий модуль автентифікації PAM (Pluggable Authentication Module), створений для глибокої інтеграції в Linux-систему. Завдяки багаторівневій обфускації, приховуванню середовища виконання та аналітичного саботажу, цей бекдор уникає виявлення традиційними засобами безпеки.
Серед його функцій:
Plague здатен переживати оновлення системи, зберігаючи постійний доступ до серверів. Під час дослідження виявлено артефакти компіляції для різних дистрибутивів Linux із різними версіями GCC, що свідчить про тривалий період активної розробки.
Це не перша атака через PAM. У травні 2025 Nextron виявляла схожі зразки шкідливого коду, що використовували модулі PAM для крадіжки облікових даних. Але *Plague* — значно складніший. Антивірусні системи на VirusTotal за рік не змогли розпізнати його як загрозу — жоден рушій не зафіксував підозру.
Це вказує на високий рівень обізнаності розробників щодо обхідних шляхів, аналітики та методів приховування бекдорів у легітимному стеку авторизації.
Plague — це тихий вбивця у світі Linux-бекдорів, який уникає будь-якого логування, зберігає присутність після оновлень та не залишає слідів у системі. Якщо ваша система працює на Linux, час переглянути свої засоби захисту. Використовуйте засоби з повноцінною підтримкою PAM-аналізу та фаєрволи з моніторингом незвичних SSH-сесій.