Der neu entdeckte Trojaner Quasar Linux RAT stellt eine ausgefeilte Bedrohung dar, die speziell auf die Sicherheitslücken in Entwicklungsumgebungen abzielt. Wie Trend-Micro-Forscher Aliakbar Zahravi und Ahmed Mohamed Ibrahim in ihrer Analyse berichten, ist QLNX in der Lage, eine beeindruckende Palette von Zugangsdaten zu extrahieren – darunter .npmrc-Dateien (npm-Token), .pypirc-Dateien (PyPI-Credentials), .git-credentials, AWS-Konfigurationen, Kubernetes-Konfigurationen, Docker-Konfigurationen, Vault-Token, Terraform-Credentials und GitHub-CLI-Token.
Die gefährlichste Implikation dieser Fähigkeiten liegt in der Kompromittierung von Software-Repositories. Ein Angreifer, der QLNX erfolgreich gegen einen Package-Maintainer einsetzt, könnte bösartige Versionen von Paketen in NPM oder PyPI hochladen – mit potenziell verheerenden Folgen für alle Abhängigen dieser Bibliotheken. Dies wäre ein klassischer Supply-Chain-Angriff, der tausende oder millionen von Entwicklern und Anwendern schädigen könnte.
Technisch ist QLNX hochgradig entwickelt. Die Malware läuft vollständig im RAM, versteckt sich unter dem Deckmantel von Kernel-Threads wie kworker oder ksoftirqd und erkennt aktiv virtualisierte Umgebungen, um Container-Einsätze zu identifizieren. Sie löscht systematisch Systemprotokolle, um ihre Spuren zu verwischen, und nutzt mindestens sieben verschiedene Persistenzmechanismen – einschließlich systemd, crontab und bash-Shell-Injection.
Die Backdoor arbeitet mit einer zweistufigen Rootkit-Architektur: Ein Userland-Rootkit nutzt den LD_PRELOAD-Mechanismus des Linux-Loaders, während eine Kernel-Level-eBPF-Komponente Prozesse, Dateien und Netzwerk-Ports vor Standard-Tools wie ps, ls und netstat verbirgt. Zusätzlich verfügt QLNX über einen Pluggable Authentication Module (PAM) Hook, der Klartext-Anmeldedaten abfängt und SSH-Sitzungen protokolliert.
Die Malware unterstützt insgesamt 58 verschiedene Befehle und ermöglicht dem Angreifer Remote-Code-Ausführung, Dateimanipulation, Prozess-Injection, Screenshot-Aufnahmen, Tastenlogging und sogar die Einrichtung von SOCKS-Proxies und P2P-Mesh-Netzwerken. Die Kommunikation mit den Command-and-Control-Servern läuft über TCP, HTTPS und HTTP.
Für deutsche Unternehmen bedeutet dies: Entwicklungsumgebungen erfordern dringend erhöhte Sicherheitsstandards. Das BSI sollte eine Warnung ausgeben, und Unternehmen sollten ihre Zugriffsschutzmaßnahmen überprüfen. Sicherheitsvorfälle mit Datenabfluss unterliegen der DSGVO-Meldepflicht und können zu erheblichen Bußgeldern führen.