网络安全公司 Trellix 披露，近期出现了一种针对 Linux 的新型攻击链，通过钓鱼邮件传播名为 VShell 的开源后门。攻击主要利用恶意 RAR 压缩包中文件名嵌入的 Bash 命令实现自动执行，并成功绕过杀毒软件的文件扫描机制。

攻击者通过邮件附件发送 RAR 压缩包，其中包含文件名嵌入 Base64 编码 Bash 载荷的恶意文件。该技术利用 shell 脚本在处理文件名时缺乏输入清理的漏洞，借助 eval 或 echo 等命令触发恶意代码执行。由于杀毒软件通常不会扫描文件名内容，攻击者借此绕过传统防御机制。

当文件名如“ziliao2.pdf`{echo,Base64-encoded command}|{base64,-d}|bash`”被 shell 解析时，会触发下载器从远程服务器获取适配当前架构的 ELF 安装文件。

下载的 ELF 文件连接至命令与控制（C2）服务器，接收加密的 VShell 载荷并在内存中解码执行。VShell 由 Go 语言编写，具备反向 shell、文件操作、进程管理、端口转发及加密通信等功能。由于其完全在内存中运行，可有效规避基于磁盘的检测机制，并适用于多种架构的 Linux 设备。

免责声明：本文内容由开放的智能模型自动生成，仅供参考。