Trend Micro hat ein Linux-Implantat, das speziell auf Entwicklungs- und Operationsumgebungen, getauft als Quasar Linux RAT (QLNX); sein Design kombiniert systematische Diebstahl von Anmeldeinformationen mit fortschrittlichen verdeckten Techniken, so dass es eine besonders gefährliche Bedrohung für die Software-Versorgungskette.
Im Gegensatz zu vielen allgemeinen Malware-Stücken konzentriert sich QLNX auf das Entfernen von Geheimnissen, die in der Regel auf Entwickler- und Pipeline-Maschinen wohnen: NPM- und PyPI-Token, Git- und Cloud-Zulassungen, .env-Dateien, Kubernetes und Docker-Einstellungen, unter anderem. Die Einhaltung dieser Elemente ermöglicht es einem Angreifer, schädliche Pakete zu veröffentlichen, die Kontrolle der Cloud-Infrastruktur zu übernehmen oder sich seitlich durch CI / CD zu bewegen, mit dem Potenzial, einen "domino-Effekt" in Projekten und Abhängigkeiten zu verursachen.
Was QLNX besonders stört, ist seine Kombination von Techniken: Dateilose Ausführung aus Speicher, Camouflage als Kernelfäden (z.B. kworker) und eine redundante Persistenzarchitektur (systemd, crontab, Modifikationen in .bashrc und andere). Es verwendet auch zwei Rootkit Levels - ein Roukit im Benutzerraum mit LD _ PRELOAD und eine Kernelkomponente, die eBPF verwendet, um Prozesse, Dateien und Ports zu verbergen - und eine Backdoor, die Anmeldeinformationen in PAM-Authentifizierungsprozessen abgreift. Diese Mischung ermöglicht es Ihnen, lange Zeit still zu bleiben und klare Anmeldeinformationen zu erfassen, nur wenn der Benutzer authentifiziert ist.
Aus betrieblicher Sicht unterstützt QLNX Dutzende von Remote-Befehlen, um Dateien zu verwalten, Code injizieren, Hosen zu nehmen, Schlüssel aufzeichnen und TCP / SOCKS Tunnels zu etablieren, so dass es ein komplettes Werkzeug für die Fernbedienung und Exfiltration. Sie können auch Module in jedem dynamisch verknüpften Prozess laden, um Token zu erfassen und dauerhafte Kommunikation mit Ihrer TCP-, HTTPS- und HTTP-Steuerungsinfrastruktur zu pflegen.
Die Implikationen für Entwickler, Pakethalter und Sicherheitsausrüstung sind klar: Eine engagierte Maschine gefährdet nicht nur den lokalen Code, sondern kann öffentliche Repositorien und automatisierte Pipelines abfragen. Ein Angreifer mit NPM- oder PyPI-Veröffentlichungsgenehmigungen kann böswillige Versionen vorstellen, die sich auf viele Projekte und Benutzer verteilen.
Um das unmittelbare Risiko zu mindern, ist es unerlässlich Schutz von Geheimnissen und annehmen, dass jeder Arbeitsplatz objektiv sein kann. Praktische Maßnahmen umfassen das Drehen und Revozieren potenziell exponierter Token, das Bewegen von Anmeldeinformationen zu verwalteten Tresoren (geheime Manager) durch temporären und begrenzten Zugriff und das Ersetzen langfristiger Token durch föderierte ID-Mechanismen (z.B. OIDC), die das Speichern von Geheimnissen in lokalen Dateien vermeiden.
Aus der Sicht der Erkennung und Reaktion ist es angebracht, Artefakte und Verhaltensweisen zu überprüfen, die QLNX missbraucht: LD _ PRELOAD Variablen und verdächtige PAM-Module zu überprüfen, ungewöhnliche Einträge in systemd und cron zu prüfen, das Vorhandensein von Threads / Prozessen zu überprüfen, die den Kernel imitieren, und die Verwendung von eBPF oder BPF-Karten zu überwachen, die nicht durch legitime Werkzeuge gerechtfertigt sind. Moderne EDR-Lösungen und Integritätsüberwachung können helfen, aber es ist auch notwendig Isolat-Buildingmittel und ephemerale Umgebungen verwenden die Möglichkeit der Beharrlichkeit und Diebstahl von Anmeldeinformationen zu minimieren.
Die mittelfristige Strategie sollte sich auf die Verringerung der Exposition der Lieferkette konzentrieren: die Verwendung von Paketsignaturen, die Überprüfung von Einheiten, die Durchführung von reproduzierbaren Gebäuden und die Anwendung von Mindestzugangskontrollen in Rohrleitungen. Für kritische Organisationen kann die Reaktion auf einen solchen Vorfall erfordern, dass Gebäude Agenten und kompromittierte Stationen von zuverlässigen Medien, und eine forensische Untersuchung, die Speichererfassung enthält, um philelose Hinrichtungen zu erkennen.
QLNX unterstreicht zwei Trends, die wir mit Priorität ansprechen müssen: einerseits die Ausbeutung von in Entwicklungsumgebungen gespeicherten Anmeldeinformationen; andererseits die Verwendung von legitimen Technologien (LD _ PRELOAD, eBPF, PAM) als Verschleierungsmittel. Um zu vertiefen, wie eBPF funktioniert und warum sein Missbrauch die Erkennung erschwert, können die Dokumentation und Ressourcen konsultiert werden ebpf.io. Um die Techniken der Anmelde-Diebstahl und die Angriffsmuster zu verstehen, die Verteidigungsteams überwachen müssen, ist die ATT & CK-Matrix von MITRE eine nützliche Ressource: https: / / attack.mitre.org / Techniken / T1552 /.
Kurz gesagt, QLNX ist nicht nur eine andere Malware für Linux: Es ist eine Erinnerung, dass Entwickler und ihre Maschinen Teil der Sicherheitsumfang sind. Die Kombination von technischen Kontrollen, gute Praxis bei der Verwaltung von Geheimnissen und Härtungsprozessen in CI / CD ist der einzige realistische Weg, um den Umfang von Bedrohungen zu begrenzen, die unsere Token und Pipelines verbreiten wollen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...