Beveiligingsonderzoekers hebben een nieuwe Linux-malwarecampagne ontdekt die zich specifiek richt op softwareontwikkelaars en DevOps-infrastructuren. De malware, bekend onder de naam Quasar Linux of QLNX, combineert uitgebreide spionagefunctionaliteit met technieken om langdurig verborgen te blijven op geïnfecteerde systemen.
Onderzoekers van Trend Micro beschrijven QLNX als een modulair platform dat onder meer rootkitfunctionaliteit, externe toegang en diefstal van inloggegevens samenbrengt. De malware zou actief worden ingezet in omgevingen waar ontwikkelaars werken met diensten en platformen als npm, PyPI, GitHub, AWS, Docker en Kubernetes, meldt BleepingComputer. Daarmee ontstaat volgens de onderzoekers een potentieel risico voor supply-chain-aanvallen, waarbij kwaadwillenden schadelijke softwarepakketten verspreiden via populaire distributiekanalen voor code.
Stealthtechnieken bemoeilijken detectie
Een opvallend onderdeel van de malware is de manier waarop deze zich aan detectie probeert te onttrekken. QLNX draait grotendeels in het geheugen van het systeem en verwijdert sporen van zijn aanwezigheid door logbestanden te wissen en procesnamen te manipuleren. Ook compileert de malware bepaalde onderdelen direct op het geïnfecteerde systeem, waaronder rootkitcomponenten en PAM-modules voor het onderscheppen van authenticatiegegevens.
Volgens Trend Micro beschikt QLNX over meerdere methoden om actief te blijven, zelfs nadat processen worden beëindigd of systemen opnieuw worden opgestart. Daarbij maakt de malware gebruik van uiteenlopende Linux-mechanismen zoals systemd-services, cronjobs, init-scripts en aanpassingen in bash-configuraties. Hierdoor kan de malware zich diep in het systeem nestelen.
De functionaliteit van QLNX gaat verder dan alleen persistente toegang. De malware bevat mogelijkheden voor keylogging, het maken van schermafbeeldingen en het monitoren van klembordinhoud. Daarnaast kan het systeemgegevens verzamelen, SSH-sleutels stelen en toegang verkrijgen tot cloudconfiguraties en browserdata. Ook bestanden zoals /etc/shadow, waarin versleutelde wachtwoorden op Linux-systemen worden opgeslagen, behoren tot de doelwitten.
Netwerkfunctionaliteit vergroot risico op laterale verspreiding
Op netwerkvlak ondersteunt QLNX onder meer tunneling, SOCKS-proxyfunctionaliteit en laterale beweging via SSH. Daarmee kunnen aanvallers zich verder binnen een netwerk verspreiden nadat een eerste systeem is gecompromitteerd. Ook procesinjectie en het uitvoeren van code rechtstreeks in het geheugen behoren tot de mogelijkheden.
De onderzoekers waarschuwen dat ontwikkelaarswerkstations een aantrekkelijk doelwit vormen omdat deze systemen vaak toegang hebben tot software repositories, CI/CD-pijplijnen en cloudomgevingen. Gestolen ontwikkelaarsreferenties kunnen vervolgens worden misbruikt om gemanipuleerde softwarepakketten te publiceren of interne infrastructuur binnen te dringen.
Trend Micro heeft vooralsnog geen details gedeeld over concrete aanvallen of de groep achter de malware. Daardoor blijft onduidelijk hoe groot de huidige verspreiding van QLNX precies is. Wel melden de onderzoekers dat de malware op dit moment slechts door een beperkt aantal beveiligingsoplossingen wordt herkend, wat de kans vergroot dat infecties onopgemerkt blijven.