Quasar Linux-malware richt zich op DevOps-omgevingen

In dit artikel:

Onderzoekers van Trend Micro hebben onlangs een nieuwe Linux-malwarecampagne ontdekt, genoemd Quasar Linux (QLNX), die zich expliciet richt op softwareontwikkelaars en DevOps-omgevingen. De malware is modulair opgezet en combineert rootkit‑achtige stealth, externe toegang en datadiefstal, met specifieke focus op tooling en platforms als npm, PyPI, GitHub, AWS, Docker en Kubernetes — wat het risico op supply‑chain‑misbruik vergroot.

QLNX draait grotendeels in het geheugen en probeert detectie te omzeilen door logbestanden te wissen, procesnamen te vervalsen en onderdelen pas op het doel­systeem te compileren (waaronder rootkits en PAM‑modules om inloggegevens af te vangen). Voor blijvende voetafdrukken gebruikt het diverse Linux‑mechanismen: systemd‑services, cronjobs, init‑scripts en aanpassingen in bash‑configuraties. Daardoor kan de malware diep in systemen verankeren en na herstarts actief blijven.

Functioneel verzamelt QLNX onder meer toetsaanslagen, schermbeelden en klembordinhoud, steelt SSH‑sleutels en browser‑/cloudconfiguraties en kan bestanden als /etc/shadow benaderen. Netwerkcapaciteiten omvatten tunneling, een SOCKS‑proxy, SSH‑gebaseerde laterale beweging, procesinjectie en in‑memory code‑uitvoering, waarmee aanvallers zich verder binnen netwerken kunnen verspreiden.

Trend Micro publiceerde geen details over specifieke incidenten of de dadergroep, en slechts enkele beveiligingsproducten detecteren de malware momenteel, waardoor besmettingen mogelijk onopgemerkt blijven. Advies: beperk ontwikkelaarsrechten, isoleer CI/CD‑omgevingen, roote en ververs gecompromitteerde sleutels/credentials, monitor op persistente Linux‑mechanismen en houd beveiligingssoftware up‑to‑date.