Entdeckung und Hintergrund
Anfang August 2025 haben Forscher von Nextron Systems eine bislang unentdeckte Linux-Malware namens Plague vorgestellt. Die bösartige Komponente tarnt sich als PAM-Modul (Pluggable Authentication Module) und ist bereits seit Juli 2024 im Umlauf, ohne von klassischen AV-Lösungen erkannt zu werden.
Technische Funktionsweise
Plague integriert sich tief in den Authentifizierungs-Stack von Linux und ersetzt bei jeder Login-Anfrage – etwa über SSH oder sudo – die reguläre Passwortprüfung durch hartkodierte Zugangsdaten. Dank dieser nahtlosen Einbindung entsteht kein auffälliger Loader-Prozess, und das Modul überdauert selbst System-Updates.
Tarn- und Umgebungsmanipulation
Um jegliche Spuren zu verwischen, nutzt Plague mehrschichtige Obfuskation, Anti-Debugging-Funktionen und Umgebungs-Tampering. Konkret unsetzt es Umgebungsvariablen wie SSH_CONNECTION und SSH_CLIENT und leitet die Shell-History per HISTFILE auf /dev/null, sodass weder Login-Metadaten noch Kommandos protokolliert werden.
Verbreitung und Varianten
Seit Juli 2024 sind mehrere Varianten von Plague auf Plattformen wie VirusTotal aufgetaucht, jedoch ohne dass ein einziger Virenscanner anschlug. Die Kompilierungs-Artefakte belegen aktive Entwicklung über diverse GCC-Versionen und Linux-Distributionen wie Debian und Ubuntu.
Erkennung und Abwehr
Da signaturbasierte Scanner versagen, empfehlen Experten verhaltensbasierte Verfahren und Integritätsprüfungen. Systemadministratoren sollten regelmäßig Hashwerte der PAM-Module im Verzeichnis /lib/security/ kontrollieren, die Dateien in /etc/pam.d/ auf unautorisierte Änderungen prüfen und ungewöhnliche SSH-Verbindungen überwachen.
Ausblick
Plague demonstriert, wie Angreifer Kernkomponenten des Betriebssystems kompromittieren, um langfristig unentdeckt zu bleiben. Neben Host-Based Intrusion Detection (HIDS) und automatisiertem Log-Monitoring wird künftig eine striktere Kontrolle von PAM-Konfigurationen unerlässlich sein, um solche Bedrohungen frühzeitig zu erkennen und zu neutralisieren.
Quellen
- BleepingComputer: New Plague Linux malware stealthily maintains SSH access
- Nextron Systems: Plague – A Newly Discovered PAM-Based Backdoor for Linux
- The Hacker News: New ‘Plague’ PAM Backdoor Exposes Critical Linux Systems to Silent Credential Theft
- SC Media: New Plague backdoor sets sights on Linux systems
- CyberInsider: New “Plague” Backdoor for Linux Hijacks SSH Using Malicious PAM Module
Über den Autor
Letzte Aktualisierung am 5.02.2026 / Affiliate Links / Bilder von der Amazon Product Advertising API. Alle hier angezeigten Preise und Verfügbarkeiten gelten zum angegebenen Zeitpunkt der Einbindung und können sich jederzeit ändern. Der Preis und die Verfügbarkeit, die zum Kaufzeitpunkt auf Amazon.de angezeigt werden, sind maßgeblich. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.
