网络安全公司Trellix披露，一种新型Linux攻击链正通过钓鱼邮件传播开源后门VShell。攻击者将恶意文件封装在RAR压缩包中，利用嵌入在文件名中的Base64编码Bash命令实现自动执行，绕过传统杀毒软件扫描。

该攻击方式借助shell脚本处理文件名时的漏洞，如使用`eval`或`echo`命令触发命令注入。例如文件名“ziliao2.pdf`{echo,}`等，解析时将激活下载器，从远程服务器获取适配架构的ELF安装文件。

随后，ELF文件连接命令与控制服务器，下载加密的VShell载荷并在内存中解码执行。该后门支持反向shell、文件操作、进程管理等功能，具备跨架构攻击能力，难以被传统安全机制发现。