Linux 后门“瘟疫”深度劫持PAM框架规避检测

近日，安全团队Nextron发现名为“瘟疫”（Plague）的Linux后门通过篡改可插拔身份验证模块（PAM）实现深度隐匿。该后门伪装为系统库文件（libselinus.so.8），劫持pam_sm_authenticate()等核心认证函数，使攻击者无需认证即可通过硬编码密码建立持久SSH访问。该恶意软件自2024年7月活跃，2025年3月出现新变种，采用多层加密（含KSA PRGA DRBG算法）规避静态分析和沙盒检测。防御建议包括：监控 lib security 目录异常动态库、审计PAM配置、实施基于内存的行为分析。