Forscher haben ein neues Linux-Implantat als getauft dokumentiert Quasar Linux (QLNX), entwickelt, um Entwickler-Workstations und DevOps-Umgebungen mit Funktionen zu kompromittieren, die Rootkit, Hintertür und Anmelde-Diebstahl kombinieren; sein Design schlägt einen bewussten Ansatz zur Versorgung von Kettenangriffen und langfristige Beharrlichkeit in Maschinen, die direkten Zugriff auf Repositorien, Containeraufzeichnungen und Cloud-Berechtigungen.
Was QLNX besonders gefährlich macht, ist sein Hybrid-Ansatz: Malware läuft im Speicher und löscht Festplattengeräte, um eine forensische Analyse zu vermeiden, dynamisch Kompilieren Komponenten in der Opfermaschine mit gcc - einschließlich eines LD _ PRELOAD Moduls von Benutzerraum und einer kernelbasierten Komponente von eBPF - und fügt mehrere automatische Start-up-Mechanismen (von systemd zu .bashrc und cronwork) hinzu, um sicherzustellen, dass es die Regeneration überlebt. Es umfasst auch ein Remote-Control-Framework mit Dutzenden von Befehlen, Speicherinjektionsfunktionen, Dateisystemüberwachung, Keylogging und Sammlung von SSH-Tasten, Cloud-Token und anderen Geheimnissen.
Angreifende Entwickler-Workstations sind kein Zufall: Diese Maschinen speichern oft Anmeldeinformationen und Token, die es Ihnen ermöglichen, Pakete auf npm, PyPI oder Container in Platten zu veröffentlichen, oder Pipelines auf CI / CD mit hohen Berechtigungen auszulösen. Ein Angreifer, der eine Entwicklungsumgebung steuert, kann ohne Verletzung von Produktionssystemen schädliche Geräte in die Lieferkette einführen und große Verpflichtungen verbreiten; daher sollte das Vorhandensein von QLNX als Erinnerung an die Fragilität der menschlichen Verbindung und der lokalen Umgebung in der Softwaresicherheit gelesen werden.
Der Nachweis zum Zeitpunkt des Berichts ist gering, was die Eindämmung erschwert: Nur wenige Antivirenlösungen erkennen noch die binäre und die philelose Natur der Bedrohung erschwert das traditionelle Scannen. Daher sollten sich Verteidigungen auf Präventions- und Detektionsmaßnahmen konzentrieren, die speziell für Entwickler und Pipelines sind: die Beharrlichkeit von Anmeldeinformationen in persönlichen Maschinen minimieren, die Verwendung von ephemeralen und kurzlebigen Anmeldeinformationen für automatisierte Prozesse zwingen, Multifaktor-Authentifizierung in allen Zugriffen auf Repositorien und Aufzeichnungen anwenden und Entwicklungsumgebungen aus Umgebungen segregaten, in denen sensible Geheimnisse wohnen.
Auf betrieblicher Ebene ist es angebracht, Verpflichtungssignale zu prüfen, die QLNX häufig ausnutzt: unautorisierte Einheiten und Dienstleistungen, ungewöhnliche Einträge in crontab, die Anwesenheit von LD _ PRELOAD oder / etc / ld.so.preload modifiziert, Änderungen in PAM-Modulen oder in / etc / pam.d und abnorme Prozessaktivitäten supplantieren legitime Namen. Es wird auch empfohlen, die Endpoint-Verhaltenserkennung und -sicht auf der Kernelebene zu implementieren, sowie Regeln zu verwenden, die unerwartete lokale Compilationen (gcc durch ungewöhnliche Prozesse aufgerufen) oder unbezeichnete eBPF-Lasts suchen. Wenn es einen Verdacht auf Engagement gibt, nehmen Sie an, dass lokale Geheimnisse exfiltriert und sofort gedreht wurden; wieder aufbauen aus sauberen Bildern und Wiederherstellen Schlüssel aus sicheren Quellen.
Organisationen sollten Supply-Chain-Kontrollen einschließen: Zeichen Artefakte, erfordern CI-Bewertungen und Signaturen, Run-ups in isolierten und ephemeralen Läufern und Scan-Einheiten vor der Veröffentlichung. Öffentliche Dokumentationen und Werkzeuge liefern praktische Anleitungen zur Verhärtung von Rohrleitungen und Repositorien; z.B. die Ressourcen von GitHub auf die Versorgungskettensicherheit erklären gute Praktiken zum Schutz von Workflows und Abhängigkeiten https: / / docs.github.com / en / code-security / Supply-chain-security und die Bemühungen von Behörden und Gemeinschaften (wie z.B. CISA) enthalten Empfehlungen zum Risikomanagement in der Software-Versorgungskette https: / / www.cisa.gov / Lieferkette.
Kurz gesagt, QLNX ist nicht nur ein weiteres Trojaner: es ist ein komplexes Kit entworfen, um zu verstecken, zu bestehen und zu missbrauchen Entwickler Anmeldeinformationen, um Angriffe auf die Lieferkette zu erleichtern. Die effektive Reaktion ist die Kombination von Geheimhygiene, Segmentierung von Entwicklungsumgebungen, verhaltensbasierte Erkennung und Nachbildung und unterzeichneten Baupraktiken; ohne diese Maßnahmen bleiben die Teams ein privilegiertes Ziel für Kampagnen, die versuchen, legitime Software von ihrem Ursprung zu verschmutzen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...