Quasar Linux RAT cilja developere i kredencijale za softverski lanac
Trend Micro upozorava na novootkriveni Linux backdoor Quasar Linux, odnosno QLNX, koji je dizajniran za krađu developerskih kredencijala, ključeva i tokena. Malware cilja AWS konfiguracije, Kubernetes tokene, Docker Hub kredencijale, Git tokene, NPM authentication tokene i PyPI API ključeve, što napadačima može omogućiti pristup repozitorijumima, cloud okruženjima i paketnim ekosistemima. QLNX ima modularnu arhitekturu, izvršava se u memoriji, prikriva naziv procesa, može da obriše tragove sa diska, koristi više mehanizama za persistence i uključuje rootkit funkcije. Posebno je opasan zbog PAM backdoor-a za krađu kredencijala i rootkit arhitekture koja sakriva procese, fajlove i mrežne portove.
Developer mašina više nije samo radna stanica, već često ulaz u repozitorijume, CI/CD tokove, cloud naloge i paketne registre. Kada malware ukrade tokene i ključeve sa takvog sistema, napad se lako širi iz jednog laptopa u softverski lanac, gde kompromitovan maintainer nalog može poslužiti za trojanizaciju paketa ili ubacivanje backdoor-a u build artefakte.
- Na Linux developerskim mašinama proveriti prisustvo nepoznatih PAM modula, LD_PRELOAD hook-ova, crontab unosa, systemd servisa i init skripti
- Rotirati AWS, Kubernetes, Docker Hub, Git, NPM i PyPI tokene ako postoji sumnja na kompromitaciju developer endpointa
- Uvesti minimalne privilegije i vremenski ograničene tokene za publishing i CI/CD pristup
- Pratiti neobično sakrivanje procesa, fajlova i portova, kao i pokušaje čišćenja sistemskih logova
- Za package maintainer naloge koristiti MFA, potpisivanje paketa i dodatne kontrole pre objave novih verzija