これまで知られていなかったLinuxインプラントである**Quasar Linux（QLNX）**は、ルートキット、バックドア、認証情報窃取機能の強力な組み合わせで開発者システムを標的とし、注目を集めています。このマルウェアキットは、**npm**、**PyPI**、**GitHub**、**AWS**、**Docker**、**Kubernetes**などの開発およびDevOps環境内に戦略的に展開されており、潜在的なサプライチェーン攻撃に対する深刻な懸念を引き起こしています。 ### ステルス性と永続性 **Trend Micro**の研究者はQLNXインプラントの詳細な分析を実施し、その高度な機能性を明らかにしました。このマルウェアは、ターゲットホスト上で**gcc**（GNU Compiler Collection）を使用して、ルートキット共有オブジェクトとPAMバックドアモジュールを動的にコンパイルします。 Trend Microのレポートによると、QLNXはステルス性と長期的な永続性を目的として設計されています。メモリ上で動作し、ディスクから元のバイナリを削除し、ログを消去し、プロセス名を偽装し、フォレンジック環境変数をクリアすることで検出を回避します。 QLNXは、`LD_PRELOAD`、`systemd`、`crontab`、`init.d`スクリプト、`XDG autostart`、`.bashrc`インジェクションを含む7つの異なる永続化メカニズムを採用しています。これにより、すべての動的リンクされたプロセスにロードされ、終了されても再起動されることが保証されます。  ### 主要コンポーネント QLNXは、特定の活動に特化した複数の機能ブロックを備えており、完全な攻撃ツールとなっています。そのコアコンポーネントは以下の通りです。 * **RATコア:** 58コマンドフレームワークを中心に構築された中央制御コンポーネントで、対話型シェルアクセス、ファイルおよびプロセス管理、システム制御、ネットワーク操作を提供し、カスタムTCP/TLSまたはHTTP/Sチャネルを介してC2との永続的な通信を維持します。 * **ルートキット:** ユーザーランドの`LD_PRELOAD`ルートキットとカーネルレベルのeBPFコンポーネントを組み合わせた二層ステルス機構。ユーザーランド層は`libc`関数をフックしてファイル、プロセス、マルウェアアーティファクトを隠蔽し、eBPF層はカーネルレベルでPID、ファイルパス、ネットワークポートを隠蔽します。両方とも動的に展開され、ユーザーランドルートキットはターゲットシステム上でコンパイルされます。 * **認証情報アクセスレイヤー:** 認証情報収集（SSHキー、ブラウザ、クラウドおよび開発者設定、`/etc/shadow`、クリップボード）と、プレーンテキスト認証データを傍受およびログ記録するPAMベースのバックドアを組み合わせます。 * **監視モジュール:** キーロギング、スクリーンショットキャプチャ、クリップボード監視。 * **ネットワークとラテラルムーブメント:** TCPトンネリング、SOCKSプロキシ、ポートスキャン、SSHベースのラテラルムーブメント、ピアツーピアメッシュネットワーク。 * **実行およびインジェクションエンジン:** プロセスインジェクション（`ptrace`、`/proc/pid/mem`）およびペイロード（共有オブジェクト、BOF/COFF）のインメモリ実行。 * **ファイルシステム監視:** `inotify`を介したファイルアクティビティのリアルタイム追跡。  ### 攻撃チェーン 初期アクセス後、QLNXはファイルレスの足場を確立し、永続化およびステルス機構を展開し、開発者およびクラウドの認証情報を収集します。攻撃者は開発者ワークステーションを標的とすることで、エンタープライズセキュリティ制御を回避し、ソフトウェア配信パイプラインの基盤となる認証情報にアクセスできます。  このアプローチは、盗まれた開発者認証情報を使用してトロイの木馬化されたパッケージを公開リポジトリに公開した最近のサプライチェーンインシデントと類似しています。 ### 検知と緩和策 Trend Microは、QLNXに関する特定の攻撃や帰属に関する詳細を提供していないため、この新しいマルウェアの展開量や特定の活動レベルは不明です。 現在、Quasar Linuxインプラントはわずか4つのセキュリティソリューションによって検出されており、そのバイナリを悪意のあるものとしてフラグ付けしています。Trend Microは、防御者がQLNX感染を検出し、保護措置を実装するのに役立つIoC（Indicators of Compromise）を提供しています。