Quasar Linux RAT 窃取开发者凭证以实现软件供应链妥协

Source: The Hacker News

一个此前未被记录的 Linux 植入式恶意程序，代号 Quasar Linux RAT (QLNX)，正在针对开发者的系统，以建立静默立足点并实现广泛的后渗透功能，如凭证收集、键盘记录、文件操作、剪贴板监控以及网络隧道。

“QLNX 针对软件供应链中的开发者和 DevOps 凭证，” 趋势科技研究员 Aliakbar Zahravi 和 Ahmed Mohamed Ibrahim 在对该恶意软件的技术分析中表示。
— Trend Micro Research

凭证收集

QLNX 从高价值文件中提取机密信息，包括：

• .npmrc（npm 令牌）
• .pypirc（PyPI 凭证）
• .git-credentials
• .aws/credentials
• .kube/config
• .docker/config.json
• .vault-token
• Terraform 凭证
• GitHub CLI 令牌
• .env 文件

获取这些资产后，攻击者可以：

• 向 NPM 或 PyPI 注册表推送恶意包
• 访问云基础设施
• 在 CI/CD 流水线中进行横向渗透

Image: Image of Kubernetes configuration

持久化机制

QLNX 以无文件方式在内存中运行，伪装成内核线程（如 kworker 或 ksoftirqd）。它会对主机进行画像，以检测容器化环境，清除系统日志，并通过 七 种不同方法实现持久化，包括：

• systemd 单元文件
• crontab 条目
• .bashrc Shell 注入

指挥控制

植入式程序保持一个持久循环，持续尝试通过原始 TCP、HTTPS 和 HTTP 与其 C2 服务器通信。它支持 58 条不同指令，使操作者能够：

• 执行任意 Shell 命令
• 管理文件并向进程注入代码
• 捕获屏幕截图和记录键击
• 建立 SOCKS 代理和 TCP 隧道
• 运行 Beacon Object Files (BOFs)
• 管理点对点（P2P）网状网络

可插拔认证模块 (PAM) 后门

QLNX 包含两个基于 PAM 的组件：

1. 一个内联钩子后门，在认证事件期间拦截明文凭证，记录出站 SSH 会话数据，并将其发送至 C2 服务器。
2. 第二个凭证记录器自动加载到每个动态链接进程中，以提取服务名称、用户名和认证令牌。

Image: ThreatLocker illustration

Rootkit 架构

QLNX 采用两层 Rootkit 结构：

• 用户空间 Rootkit 通过 Linux 动态链接器的 LD_PRELOAD 机制部署，用于隐藏植入式程序的痕迹和进程。
• 内核层 eBPF 组件 利用 BPF 子系统，在收到 C2 服务器指令后隐藏进程、文件和网络端口，使标准工具（ps、ls、netstat）无法检测到它们。

影响

该恶意软件系统性地收集大量凭证的能力，对开发者环境构成严重风险。若威胁行为者成功在包维护者机器上部署 QLNX，就能未经授权访问发布流水线，进而推送被投毒的版本，导致软件供应链中下游的连锁影响。

“QLNX 植入式程序旨在实现长期隐蔽和凭证窃取。其危险之处不在于单一功能，而在于其能力链式组合成完整的攻击工作流：到达、从磁盘抹除、通过多重冗余机制持久化、在用户空间和内核层同时隐藏，随后收集最关键的凭证。”
— 趋势科技

Images sourced from the original article.