Malware Quasar Linux baru yang tersembunyi menargetkan pengembang perangkat lunak

Implan Linux yang sebelumnya tidak terdokumentasi bernama Quasar Linux (QLNX) menargetkan sistem pengembang dengan gabungan kemampuan rootkit, pintu belakang, dan pencurian kredensial.

Kit malware diterapkan di lingkungan pengembangan dan DevOps di npm, PyPI, GitHub, AWS, Docker, dan Kubernetes. Hal ini dapat memungkinkan terjadinya serangan rantai pasokan di mana pelaku ancaman menerbitkan paket berbahaya pada platform distribusi kode.

Para peneliti di perusahaan keamanan siber Trend Micro menganalisis implan QLNX dan menemukan bahwa “implant ini secara dinamis mengkompilasi objek bersama rootkit dan modul pintu belakang PAM pada host target menggunakan gcc [GNU Compiler Collection].”

Sebuah laporan dari perusahaan minggu ini mencatat bahwa QLNX dirancang untuk diam-diam dan persistensi jangka panjang, karena berjalan di memori, menghapus biner asli dari disk, menghapus log, memalsukan nama proses, dan menghapus variabel lingkungan forensik.

Malware ini menggunakan tujuh mekanisme persistensi yang berbeda, termasuk LD_PRELOAD, systemd, crontab, skrip init.d, autostart XDG, dan injeksi ‘.bashrc’, memastikan malware dimuat ke dalam setiap proses yang tertaut secara dinamis dan muncul kembali jika dimatikan.

QLNX memiliki beberapa blok fungsional yang didedikasikan untuk aktivitas tertentu, menjadikannya alat serangan yang lengkap. Komponen intinya dapat diringkas sebagai berikut:

• inti TIKUS — Komponen kontrol pusat dibangun di sekitar kerangka 58 perintah yang menyediakan akses shell interaktif, manajemen file dan proses, kontrol sistem, dan operasi jaringan, sambil mempertahankan komunikasi persisten dengan C2 melalui saluran TCP/TLS atau HTTP/S khusus.
• perangkat root — Mekanisme siluman dua lapis yang menggabungkan rootkit LD_PRELOAD userland dan komponen eBPF tingkat kernel. Lapisan userland mengaitkan fungsi libc untuk menyembunyikan file, proses, dan artefak malware, sedangkan lapisan eBPF menyembunyikan PID, jalur file, dan port jaringan di tingkat kernel. Keduanya diterapkan secara dinamis, dengan rootkit userland dikompilasi pada sistem target.
• Lapisan akses kredensial — Menggabungkan pengumpulan kredensial (kunci SSH, browser, konfigurasi cloud dan pengembang, /etc/shadow, clipboard) dengan pintu belakang berbasis PAM yang mencegat dan mencatat data autentikasi teks biasa.
• Modul pengawasan — Keylogging, pengambilan tangkapan layar, dan pemantauan clipboard.
• Jaringan dan gerakan lateral — Penerowongan TCP, proksi SOCKS, pemindaian port, pergerakan lateral berbasis SSH, dan jaringan mesh peer-to-peer.
• Mesin eksekusi dan injeksi — Proses injeksi (ptrace, /proc/pid/mem) dan eksekusi payload dalam memori (objek bersama, BOF/COFF).
• Pemantauan sistem file — Pelacakan aktivitas file secara real-time melalui inotify.

Setelah akses awal, QLNX membangun pijakan tanpa file, menerapkan mekanisme persistensi dan siluman, dan kemudian mengumpulkan kredensial pengembang dan cloud.

Dengan menargetkan stasiun kerja pengembang, penyerang dapat melewati kontrol keamanan perusahaan dan mengakses kredensial yang mendukung jalur pengiriman perangkat lunak.

Pendekatan ini mencerminkan insiden rantai pasokan baru-baru ini di mana kredensial pengembang yang dicuri digunakan untuk menerbitkan paket trojan ke repositori publik.

Trend Micro belum memberikan rincian tentang serangan spesifik atau atribusi apa pun terhadap QLNX, sehingga volume penyebaran dan tingkat aktivitas spesifik malware baru ini tidak jelas.

Pada saat publikasi, implan Quasar Linux hanya terdeteksi oleh empat solusi keamanan, yang menandai binernya sebagai berbahaya. Trend Micro telah menyediakan indikator kompromi (IoC) untuk membantu para pembela HAM mendeteksi infeksi QLNX dan melindunginya dari infeksi tersebut.