Trend Micro a détaillé un implant Linux qui pointe spécifiquement vers les environnements de développement et d'exploitation, baptisé comme Quasar Linux RAT (QLNX); sa conception combine le vol systématique d'identités avec des techniques de dissimulation avancées, ce qui en fait une menace particulièrement dangereuse pour la chaîne d'approvisionnement des logiciels.
Contrairement à de nombreux logiciels malveillants généraux, QLNX se concentre sur l'élimination des secrets qui résident habituellement sur les développeurs et les machines de pipeline : jetons NPM et PyPI, les identifiants Git et Cloud, les fichiers .env, Kubernetes et les paramètres Docker, entre autres. L'obtention de l'un de ces éléments permet à un attaquant de publier des paquets malveillants, de prendre le contrôle de l'infrastructure du cloud ou de passer latéralement à travers CI / CD, avec le potentiel de provoquer un « effet de domino » dans les projets et les dépendances.
Ce qui rend QLNX particulièrement perturbant est sa combinaison de techniques: l'exécution sans fichiers de la mémoire, le camouflage comme threads du noyau (par exemple kworker), et une architecture de persistance redondante (systemd, crontab, modifications de .bashrc et autres). Il utilise également deux niveaux rootkit - un routkit dans l'espace utilisateur en utilisant LD _ PRELOAD et un composant noyau qui utilise eBPF pour masquer les processus, les fichiers et les ports - et un backdoor qui intercepte les identifiants dans les processus d'authentification PAM. Ce mélange vous permet de rester silencieux pendant de longues périodes et de saisir des références claires juste lorsque l'utilisateur est authentifié.
Du point de vue opérationnel, QLNX prend en charge des dizaines de commandes distantes pour gérer des fichiers, injecter du code, prendre des pantalons, enregistrer des clés et établir des tunnels TCP / SOCKS, ce qui en fait un outil complet pour la télécommande et l'exfiltration. Vous pouvez également charger des modules dans chaque processus dynamiquement lié pour capturer des jetons, et maintenir une communication persistante avec votre infrastructure de contrôle TCP, HTTPS et HTTP.
Les implications pour les développeurs, les détenteurs de paquets et l'équipement de sécurité sont claires: une machine engagée non seulement risque le code local, mais peut polluer les dépôts publics et les pipelines automatisés. Un attaquant avec des permis de publication NPM ou PyPI peut introduire des versions malveillantes qui se propagent à de nombreux projets et utilisateurs.
Pour atténuer le risque immédiat, il est essentiel protéger les secrets et supposer que tout poste de travail peut être objectif. Parmi les mesures pratiques, mentionnons la rotation et la révocation de jetons potentiellement exposés, le déplacement de lettres de créance vers des chambres fortes gérées (gestionnaires secrets) avec un accès temporaire et limité, et le remplacement de jetons à long terme par des mécanismes d'identification fédérés (par exemple OIDC) qui évitent de stocker des secrets dans des fichiers locaux.
Du point de vue de la détection et de la réponse, il convient d'examiner les artefacts et les comportements que QLNX abuse : vérifier les variables LD _ PRELOAD et les modules PAM suspects, vérifier les entrées inhabituelles dans systemd et cron, vérifier la présence de threads / process qui imitent le noyau, et surveiller l'utilisation de cartes eBPF ou BPF qui ne sont pas justifiées par des outils légitimes. Les solutions modernes de DRE et le contrôle de l'intégrité peuvent aider, mais il est également nécessaire isoler les agents de construction et utiliser des environnements éphémères réduire au minimum les risques de persistance et de vol de pouvoirs.
La stratégie à moyen terme devrait être axée sur la réduction de l'exposition à la chaîne d'approvisionnement : exiger la signature de l'ensemble, permettre l'examen des unités, mettre en place des bâtiments reproductibles et appliquer des contrôles d'accès minimaux dans les pipelines. Pour les organisations critiques, la réponse à un tel incident peut nécessiter le redémarrage d'agents de construction et de stations compromises par des médias fiables, et la conduite d'une enquête médico-légale qui comprend la capture de mémoire pour détecter les exécutions sans fiole.
QLNX met en évidence deux tendances que nous devons aborder en priorité : d'une part, l'exploitation des références stockées dans des environnements de développement ; d'autre part, l'utilisation de technologies légitimes (LD _ PRELOAD, eBPF, PAM) comme moyen de dissimulation. Afin d'approfondir le fonctionnement de l'eBPF et pourquoi son abus complique la détection, la documentation et les ressources peuvent être consultées à l'adresse suivante: ebpf.io. Pour comprendre les techniques de vol de lettres de créances et les modèles d'attaque que les équipes de défense doivent surveiller, la matrice ATT & CK de MITRE est une ressource utile : https: / / attack.mitre.org / techniques / T1552 /.
Bref, QLNX n'est pas seulement un autre malware pour Linux : c'est un rappel que les développeurs et leurs machines font partie du périmètre de sécurité. La combinaison des contrôles techniques, des bonnes pratiques dans la gestion des secrets et des processus de durcissement en CI / CD est le seul moyen réaliste de limiter la portée des menaces que nos jetons et pipelines cherchent à propager.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...