Quasar Linux RAT Steals Developer Credentials for Software Supply Chain Compromise
Ein bisher unbekanntes Linux-Implantat namens Quasar Linux RAT (QLNX)攻撃の概要をドイツ語でまとめましたが、最後の部分が途中で日本語になってしまいました。以下は修正版です。 Ein bisher unbekanntes Linux-Implantat namens Quasar Linux RAT (QLNX) zielt auf Entwickler- und DevOps-Anmeldeinformationen in der Softwareversorgungskette ab. Es ermöglicht das stille Einsetzen und eine Vielzahl von nachfolgenden Funktionen wie Anmeldeinformationenraub, Keylogging, Dateimanipulation, Clipboard-Betrachtung sowie Netzwerktunneling. Entwickler sollten strenge Authentifizierungsverfahren und regelmäßige Überprüfungen ihrer Systeme einleiten, um solche Angriffe zu verhindern.
Quasar Linux RAT, auch QLNX genannt, ist laut Artikel ein bisher unbekanntes Linux-Implantat, das auf Entwickler- und DevOps-Anmeldeinformationen in der Software-Lieferkette abzielt. Es unterstützt stilles Einsetzen sowie Funktionen wie Credential-Diebstahl, Keylogging, Dateimanipulation, Clipboard-Betrachtung und Netzwerktunneling. Entwickler sollen starke Authentifizierung und regelmäßige Systemüberprüfungen einsetzen.
Entwickler und DevOps-Umgebungen in der Softwareversorgungskette.
Gestohlene Entwickler- oder DevOps-Zugangsdaten können Zugriff auf Build-, Repository- oder Deployment-Prozesse ermöglichen.
Angreifer stehlen Entwicklerzugangsdaten und nutzen sie für weiterführenden Zugriff in Software-Lieferkettenumgebungen.
Starke Authentifizierung durchsetzen, Entwickler-Endpoints auf QLNX-ähnliche Anzeichen prüfen und Credential- sowie Clipboard-Zugriffe überwachen.
- ▸Defensiver Check: Entwickler- und DevOps-Systeme auf ungewöhnliche Prozesse, persistente Implantate oder verdächtige Netzwerkverbindungen prüfen.
- ▸Defensiver Check: Authentifizierungslogs für Repository-, CI/CD- und Cloud-Zugänge auf ungewöhnliche Anmeldungen prüfen.
- ▸Defensiver Check: EDR- oder Linux-Audit-Regeln für Keylogging-, Dateimanipulations- und Tunneling-Anzeichen validieren.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Credential Access | T1056.001 Input Capture: Keylogging | High | Der Artikel nennt Keylogging als Funktion. |
| Credential Access | T1555 Credentials from Password Stores | Low | Der Artikel nennt Anmeldeinformationenraub, beschreibt aber keine Quelle der Zugangsdaten. |
| Command and Control | T1572 Protocol Tunneling | Medium | Der Artikel nennt Netzwerktunneling als Funktion. |
- Verbreitungsweg, Persistenzmechanismus und IOCs sind nicht im Artikel angegeben.
- Betroffene Linux-Distributionen sind nicht im Artikel angegeben.
- Konkrete Angreifergruppe oder Länder sind nicht im Artikel angegeben.