Beveiligingsonderzoekers hebben een nieuwe Linux-malwarecampagne ontdekt die zich specifiek richt op softwareontwikkelaars en DevOps-infrastructuren. De malware, bekend als Quasar Linux of QLNX, combineert uitgebreide spionagefunctionaliteit met technieken om langdurig verborgen te blijven op geïnfecteerde systemen. Onderzoekers van Trend Micro beschrijven QLNX als een modulair platform dat rootkitfunctionaliteit, externe toegang en diefstal van inloggegevens samenbrengt.

De malware wordt actief ingezet in omgevingen waar ontwikkelaars werken met diensten en platformen zoals npm, PyPI, GitHub, AWS, Docker en Kubernetes, meldt BleepingComputer. Dit vormt een potentieel risico voor supply-chain-aanvallen, waarbij kwaadwillenden schadelijke softwarepakketten verspreiden via populaire distributiekanalen voor code.

Een opvallend kenmerk van QLNX is de stealth-aanpak. De malware draait grotendeels in het geheugen en verwijdert sporen door logbestanden te wissen en procesnamen te manipuleren. Daarnaast compileert QLNX bepaalde componenten direct op het geïnfecteerde systeem, waaronder rootkitonderdelen en PAM-modules om authenticatiegegevens te onderscheppen. Volgens Trend Micro beschikt de malware over meerdere methoden om persistent te blijven, ook na het beëindigen van processen of een herstart. Hiervoor maakt QLNX gebruik van Linux-mechanismen zoals systemd-services, cronjobs, init-scripts en aanpassingen in bash-configuraties, waardoor het zich diep in het systeem kan nestelen.

De functionaliteit van QLNX gaat verder dan alleen toegang behouden. De malware kan keylogging uitvoeren, schermafbeeldingen maken en klembordinhoud monitoren. Ook verzamelt het systeemgegevens, steelt SSH-sleutels en verkrijgt het toegang tot cloudconfiguraties en browserdata. Bestanden zoals /etc/shadow, waarin versleutelde wachtwoorden op Linux-systemen staan, behoren eveneens tot de doelwitten.

Op netwerkgebied ondersteunt QLNX tunneling, SOCKS-proxyfunctionaliteit en laterale beweging via SSH, waarmee aanvallers zich binnen een netwerk kunnen verspreiden nadat een eerste systeem is gecompromitteerd. Ook procesinjectie en het uitvoeren van code in het geheugen behoren tot de mogelijkheden. Onderzoekers waarschuwen dat ontwikkelaarswerkstations een aantrekkelijk doelwit zijn vanwege hun toegang tot software repositories, CI/CD-pijplijnen en cloudomgevingen. Gestolen ontwikkelaarsreferenties kunnen worden misbruikt om gemanipuleerde softwarepakketten te publiceren of interne infrastructuur te compromitteren.

Trend Micro heeft nog geen details gedeeld over concrete aanvallen of de achterliggende groep, waardoor de omvang van de verspreiding van QLNX onduidelijk blijft. Wel wordt gemeld dat de malware momenteel door slechts een beperkt aantal beveiligingsoplossingen wordt herkend, wat de kans vergroot dat infecties onopgemerkt blijven.