MalwareCyberkriminalitätSchwachstellen

Quasar Linux: Gefährlicher RAT zielt auf Entwickler und die Software-Supply-Chain

Von CyberDeutsch Redaktion
Quasar Linux: Gefährlicher RAT zielt auf Entwickler und die Software-Supply-Chain
Zusammenfassung

Die Cybersicherheitsfirma Trend Micro hat kürzlich eine hochentwickelte Linux-Malware namens Quasar Linux (QLNX) identifiziert, die gezielt auf Softwareentwickler abzielt. Der Remote-Access-Trojaner besticht durch seine Modularität, mehrschichtige Verschleierungsmechanismen und ein integriertes Rootkit-System. Hauptziel des Schadsoftware ist der Diebstahl von Entwickleranmeldedaten, API-Schlüsseln und Authentifizierungstoken – Zugangsdaten, die Angreifer zu Code-Repositories, Cloud-Umgebungen und Entwicklungstools führen. Das macht QLNX zu einer Bedrohung für die gesamte Softwarelieferkette: Gelingt es, einen Paketmaintainer zu kompromittieren, können Angreifer unbemerkt Millionen von Nutzern durch trojaner Code erreichen. Für deutsche Unternehmen ist dies besonders kritisch, da viele im Tech-Sektor tätige Firmen auf Open-Source-Software angewiesen sind. Die Fähigkeiten der Malware – von der Selbstlöschung über Prozessverschleierung bis zur Protokollmanipulation – ermöglichen es dem Schadcode, monatelang unentdeckt zu bleiben. Dies stellt eine erhebliche Bedrohung für deutsche Softwareunternehmen, Entwickler und die nationale Cybersicherheit dar.

Der neu entdeckte Linux-Backdoor Quasar Linux stellt eine erhebliche Bedrohung für die globale Software-Lieferkette dar. Das Malware-Tool wurde speziell dafür entwickelt, langfristig unerkannt in Entwicklersystemen zu verweilen und wertvollste Authentifizierungsdaten zu stehlen.

Architektur und Funktionsweise

QLNX verfügt über eine beeindruckende technische Infrastruktur: Das Malware wird im Speicher ausgeführt, täuscht seinen Prozessnamen vor und kann sich selbst löschen, um einer Erkennung zu entgehen. Besonders kritisch ist die Zwei-Ebenen-Rootkit-Architektur. Sie nutzt userspace-Hooks via LD_PRELOAD-Shared-Library und einen eBPF-Rootkit-Controller auf Kernel-Ebene. Dieser erlaubt es dem Backdoor, Prozesse, Dateien und Netzwerk-Ports vor Standard-Tools zu verstecken.

Persistenz und Datenklau

Das Malware implementiert sechs verschiedene Persistenzmechanismen: Crontab-Einträge, Desktop-Entries, Init-Skripte, Service-Dateien und Shell-Zeilen. Diese redundante Herangehensweise macht eine Entfernung extrem schwierig. QLNX umfasst zwei PAM-Backdoor-Implementierungen zur Credential-Ernte, eine mit Master-Password-Bypass-Funktion.

Die Malware sammelt Zwischenablage-Inhalte, SSH-Schlüssel, Browser-Profile und SSH-Sessiondaten. Mit 58 verschiedenen Befehlen kann QLNX nahezu jede Systemfunktion manipulieren — von Dateiverwaltung über Screenshot-Funktionen bis zu Keylogging.

Auswirkungen auf die Supply Chain

Das eigentliche Risiko liegt in der Supply-Chain-Penetration. Werden Paketbetreuer kompromittiert, können Angreifer Pakete trojisieren, Backdoors in Build-Artefakte injizieren oder in Cloud-Umgebungen pivotieren, wo Produktionsinfrastrukturen laufen. Ein einziger Paket-Maintainer-Zugang könnte tausende Entwickler und Unternehmen gefährden.

Für deutsche Organisationen

Deutsche Softwareunternehmen, Cloud-Provider und Entwickler-Teams sollten Linux-Systeme verstärkt überwachen. Das BSI empfiehlt regelmäßige Sicherheitsaudits von Entwicklungsumgebungen und die Implementierung von Zero-Trust-Architekturen. Besondere Aufmerksamkeit gilt Prozessüberwachung, Netzwerk-Monitoring und regelmäßigen Penetrationstests — speziell für Supply-Chain-Szenarien.

Ähnliche Artikel