新型隐蔽型 Quasar Linux 恶意软件盯上了软件开发人员
一种此前未被记录的名为 Quasar Linux (QLNX) 的 Linux 植入程序,正利用 rootkit、后门和凭证窃取功能,攻击开发者的系统。该恶意软件工具包已部署在 npm、PyPI、GitHub、AWS、Docker 和 Kubernetes 等开发和 DevOps 环境中。这可能导致供应链攻击,攻击者可以将恶意软件包发布到代码分发平台上。网络安全公司趋势科技的研究人员分析了 QLNX 植入程序,发现“它使用 gcc [GNU 编译器集合] 在目标主机上动态编译 rootkit 共享对象和 PAM 后门模块”。该公司本周发布的一份报告指出,QLNX 的设计旨在实现隐蔽性和长期持久性,因为它在内存中运行,从磁盘中删除原始二进制文件,擦除日志,伪造进程名称,并清除取证环境变量。该恶意软件使用七种不同的持久化机制,包括 LD_PRELOAD、systemd、crontab、init.d 脚本、XDG 自动启动和 '.bashrc' 注入,确保它加载到每个动态链接进程中,并在被杀死后重新生成。QLNX 包含多个专用于特定活动的功能模块,使其成为一款完整的攻击工具。其核心组件可概括如下:- RAT 核心— 围绕 58 个命令框架构建的中央控制组件,提供交互式 shell 访问、文件和进程管理、系统控制和网络操作,同时通过自定义 TCP/TLS 或 HTTP/S 通道与 C2 保持持久通信。
- Rootkit——一种双层隐蔽机制,结合了用户层 LD_PRELOAD rootkit 和内核级 eBPF 组件。用户层钩取 libc 函数以隐藏文件、进程和恶意软件痕迹,而 eBPF 层则在内核级别隐藏进程 ID (PID)、文件路径和网络端口。两者都是动态部署的,其中用户层 rootkit 在目标系统上编译。
- 凭证访问层— 将凭证收集(SSH 密钥、浏览器、云和开发人员配置、/etc/shadow、剪贴板)与基于 PAM 的后门相结合,拦截并记录明文身份验证数据。
- 网络和横向移动——TCP隧道、SOCKS代理、端口扫描、基于SSH的横向移动和点对点网状网络。
- 执行和注入引擎——进程注入(ptrace、/proc/pid/mem)和有效载荷的内存执行(共享对象、BOF/COFF)。
- 文件系统监控——通过inotify实时跟踪文件活动。
获得初始访问权限后,QLNX 建立无文件立足点,部署持久性和隐蔽机制,然后收集开发者和云凭证。通过攻击开发人员工作站,攻击者可以绕过企业安全控制,并访问支撑软件交付管道的凭据。这种方法与最近发生的供应链事件类似,在这些事件中,被盗的开发者凭证被用来将植入木马的软件包发布到公共存储库中。趋势科技尚未提供有关 QLNX 的具体攻击或归因的详细信息,因此这种新型恶意软件的部署量和具体活动水平尚不清楚。截至发稿时,只有四款安全解决方案能够检测到 Quasar Linux 植入程序,并将其二进制文件标记为恶意程序。趋势科技已提供入侵指标 (IoC),以帮助防御者检测 QLNX 感染并进行防御。