近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现，Plague后门可劫持Linux系统root权限，窃取核心数据并永久潜伏，严重威胁信息基础设施安全。

    Plague是一种劫持Linux系统PAM（用于管理Linux和类UNIX系统中用户认证的共享库）认证流程的后门程序。在攻击过程中，攻击者利用目标系统未修复的高危漏洞或污染软件供应链（篡改软件仓库或开源组件），通过横向移动（SSH凭证爆破）及社会工程来获取root权限，进而篡改PAM配置，使系统在认证流程中被动加载该库到内存。植入成功后，Plague通过清除环境变量（SSH_CLIENT和SSH_CONNECTION）及重定向命令历史文件（HISTFILE至/dev/null）消除痕迹，同时篡改系统配置实现持久化潜伏，最终通过内网横向渗透或植入隐藏特权账户实现深度控制。

    建议相关单位及用户立即组织排查，及时更新防病毒软件。定期实施全盘查杀，加强钓鱼邮件识别培训，启用PAM模块完整性检查（如签名验证），关闭非必要SSH服务以降低攻击面，隔离异常网络流量并启用日志审计机制。

来源于：网络安全威胁和漏洞信息共享平台