Quasar Linux RAT zielt auf Entwickler ab: Fileless-Execution und eBPF-Rootkit

Die neu entdeckte Linux-Malware Quasar Linux (QLNX) richtet sich aktiv mit einem in Linux-spezifischen Bedrohungen seltenen Grad an Raffinesse gegen Softwareentwickler und DevOps-Ingenieure.

Im Gegensatz zu den meisten M Die neu entdeckte Linux-Malware Quasar Linux (QLNX) richtet sich aktiv mit einem in Linux-spezifischen Bedrohungen seltenen Grad an Raffinesse gegen Softwareentwickler und DevOps-Ingenieure.

Im Gegensatz zu den meisten Malware-Stämmen, die auf Dateien auf der Festplatte angewiesen sind, läuft QLNX fast ausschließlich im Arbeitsspeicher, was die Erkennung durch herkömmliche Sicherheitstools erheblich erschwert. Die Bedrohung hat ernste Besorgnis ausgelöst, sowohl wegen ihrer Zielgruppe als auch wegen dessen, was sie letztendlich stehlen soll.

QLNX erscheint als einzelne, eigenständige Binärdatei, doch das ist der Punkt, an dem das gewöhnliche Verhalten endet.

Nach der Ausführung verschiebt sie ihre Last in den Arbeitsspeicher, hinterlässt keine Spuren im Dateisystem und integriert sich in das Betriebssystem, um SSH-Schlüssel, Cloud-Zugangsdaten, Paketregister-Token und im Browser gespeicherte Passwörter zu erbeuten.

Eine kompromittierte Entwickler-Workstation ist nicht nur ein infizierter Rechner, sondern ein Hintertürzugang zu Quellcode-Repositories, Build-Pipelines und Cloud-Umgebungen. Analysten und stellten fest, dass es ursprünglich entdeckt wurde. GuardSix gab in einem Bericht, der mit