**Quasar Linux (QLNX)**, ein bisher undokumentierter Linux-Implant, sorgt für Aufsehen, indem er Entwicklersysteme mit einer potenten Kombination aus Rootkit-, Backdoor- und Anmeldedaten-Diebstahlfunktionen ins Visier nimmt. Dieses Malware-Kit wird strategisch in Entwicklungs- und DevOps-Umgebungen eingesetzt, darunter **npm**, **PyPI**, **GitHub**, **AWS**, **Docker** und **Kubernetes**, was ernste Bedenken hinsichtlich potenzieller Supply-Chain-Angriffe aufwirft. ### Tarnung und Persistenz Forscher von **Trend Micro** haben eine eingehende Analyse des QLNX-Implants durchgeführt und seine fortschrittlichen Fähigkeiten aufgedeckt. Die Malware kompiliert dynamisch Rootkit-Shared-Objects und PAM-Backdoor-Module auf dem Zielhost mithilfe von **gcc** (GNU Compiler Collection). Laut dem Bericht von Trend Micro ist QLNX auf Tarnung und langfristige Persistenz ausgelegt. Sie arbeitet im Arbeitsspeicher, löscht die ursprüngliche Binärdatei von der Festplatte, löscht Protokolle, spoofft Prozessnamen und löscht forensische Umgebungsvariablen, um der Erkennung zu entgehen. QLNX nutzt sieben verschiedene Persistenzmechanismen, darunter `LD_PRELOAD`, `systemd`, `crontab`, `init.d`-Skripte, `XDG autostart` und `.bashrc`-Injektion. Dies stellt sicher, dass sie in jeden dynamisch verknüpften Prozess geladen und bei Beendigung neu gestartet wird.  ### Schlüsselkomponenten QLNX verfügt über mehrere funktionale Blöcke, die spezifischen Aktivitäten gewidmet sind, was es zu einem vollständigen Angriffswerkzeug macht. Seine Kernkomponenten umfassen: * **RAT-Kern:** Eine zentrale Steuerungskomponente, die auf einem 58-Befehls-Framework basiert und interaktiven Shell-Zugriff, Datei- und Prozessverwaltung, Systemsteuerung und Netzwerkoperationen bietet, während die persistente Kommunikation mit dem C2 über benutzerdefinierte TCP/TLS- oder HTTP/S-Kanäle aufrechterhalten wird. * **Rootkit:** Ein zweischichtiger Tarnmechanismus, der ein Userland-`LD_PRELOAD`-Rootkit und eine Kernel-Level-eBPF-Komponente kombiniert. Die Userland-Schicht hakt `libc`-Funktionen, um Dateien, Prozesse und Malware-Artefakte zu verbergen, während die eBPF-Schicht PIDs, Dateipfade und Netzwerkports auf Kernel-Ebene verbirgt. Beide werden dynamisch bereitgestellt, wobei das Userland-Rootkit auf dem Zielsystem kompiliert wird. * **Anmeldedaten-Zugriffsschicht:** Kombiniert das Ernten von Anmeldedaten (SSH-Schlüssel, Browser, Cloud- und Entwicklerkonfigurationen, `/etc/shadow`, Zwischenablage) mit PAM-basierten Backdoors, die Klartext-Authentifizierungsdaten abfangen und protokollieren. * **Überwachungsmodul:** Keylogging, Screenshot-Erfassung und Überwachung der Zwischenablage. * **Netzwerk und laterale Bewegung:** TCP-Tunneling, SOCKS-Proxy, Port-Scanning, SSH-basierte laterale Bewegung und Peer-to-Peer-Mesh-Netzwerke. * **Ausführungs- und Injektions-Engine:** Prozessinjektion (`ptrace`, `/proc/pid/mem`) und In-Memory-Ausführung von Payloads (Shared Objects, BOF/COFF). * **Dateisystemüberwachung:** Echtzeit-Verfolgung von Dateiaktivitäten über `inotify`.  ### Angriffskette Nach dem anfänglichen Zugriff etabliert QLNX einen dateilosen Fußabdruck, setzt Persistenz- und Tarnmechanismen ein und erntet dann Entwickler- und Cloud-Anmeldedaten. Durch die gezielte Ansprache von Workstations von Entwicklern können Angreifer Unternehmenssicherheitskontrollen umgehen und auf die Anmeldedaten zugreifen, die Software-Lieferpipelines untermauern.  Dieser Ansatz spiegelt aktuelle Supply-Chain-Vorfälle wider, bei denen gestohlene Entwickler-Anmeldedaten verwendet wurden, um trojanisierte Pakete in öffentlichen Repositories zu veröffentlichen. ### Erkennung und Abwehr Trend Micro hat keine Details zu spezifischen Angriffen oder einer Zuordnung für QLNX bereitgestellt, sodass das Bereitstellungsvolumen und die spezifischen Aktivitätslevel dieser neuen Malware unklar sind. Derzeit wird der Quasar Linux-Implant von nur vier Sicherheitslösungen erkannt, die seine Binärdatei als bösartig kennzeichnen. Trend Micro hat Indikatoren für Kompromittierung (IoCs) bereitgestellt, um Verteidiger bei der Erkennung von QLNX-Infektionen und der Implementierung von Schutzmaßnahmen zu unterstützen.