linux 后门“瘟疫”深度劫持pam框架规避检测 -凯发娱乐登录

近日，安全团队nextron发现名为“瘟疫”（plague）的linux后门通过篡改可插拔身份验证模块（pam）实现深度隐匿。该后门伪装为系统库文件（libselinus.so.8），劫持pam_sm_authenticate()等核心认证函数，使攻击者无需认证即可通过硬编码密码建立持久ssh访问。该恶意软件自2024年7月活跃，2025年3月出现新变种，采用多层加密（含ksa prga drbg算法）规避静态分析和沙盒检测。防御建议包括：监控 lib security 目录异常动态库、审计pam配置、实施基于内存的行为分析。