周三下午,一名Python包维护者像往常一样登录服务器准备发布新版本。他没想到,自己.git-credentials里的GitHub令牌已经被复制到千里之外的服务器上——而攻击者正在用这个令牌,向PyPI推送一个看似正常的"补丁更新"。
这是安全厂商Trend Micro最新披露的攻击场景。研究人员Aliakbar Zahravi和Ahmed Mohamed Ibrahim在技术分析中指出,一款名为Quasar Linux RAT(简称QLNX)的新型Linux植入程序正专门针对开发者和DevOps环境,其设计目标很明确:在软件供应链中建立静默据点,为后续更大规模的渗透做准备。
QLNX的 credential harvester(凭证采集模块)会系统性地扫描高价值配置文件。具体包括.npmrc(npm令牌)、.pypirc(PyPI凭证)、.git-credentials、.aws/credentials、.kube/config、.docker/config.json、.vault-token、Terraform凭证、GitHub CLI令牌以及.env文件。这些文件通常散落在开发者的主目录和项目文件夹中,却掌握着通往代码仓库、云基础设施和CI/CD管道的钥匙。
攻击者拿到这些凭证后能做什么?Trend Micro的分析师给出了清晰的攻击链条:向NPM或PyPI注册表推送恶意包、直接访问云基础设施、或者通过CI/CD管道横向移动。一个被攻陷的包维护者账号,足以让恶意代码以"官方更新"的名义进入数千个下游项目。
QLNX的技术架构显示出专业级的隐蔽设计。它从内存中无文件执行,进程名伪装成kworker或ksoftirqd等内核线程——这类名称在Linux系统的进程列表中极其常见,肉眼几乎无法分辨。同时它会主动探测容器化环境,清理系统日志消除痕迹,并通过七种不同的机制建立持久化,包括systemd服务、crontab定时任务和.bashrc注入。
数据外传通道同样经过精心设计。QLNX支持通过原始TCP、HTTPS和HTTP三种协议与C2服务器通信,内置58条独立指令,覆盖shell命令执行、文件管理、进程代码注入、屏幕截图、键盘记录、SOCKS代理和TCP隧道等功能。更值得注意的是其PAM(可插拔认证模块)后门:通过inline-hook技术拦截认证过程中的明文凭证,记录SSH会话数据,并自动加载到每个动态链接进程中提取服务名、用户名和认证令牌。
QLNX还配备了两层rootkit架构。用户层rootkit通过LD_PRELOAD机制部署,用于隐藏恶意进程和文件;内核层组件则深入系统更底层。这种设计让常规的安全检测工具很难发现其存在——当你用ps查看进程、用ls查看文件时,看到的可能是被过滤过的"干净"结果。
关于初始入侵途径,目前尚无确切信息。但一旦立足成功,QLNX会进入主运行阶段:持续循环尝试与C2服务器建立并维持连接。这种设计保证了即使网络环境波动,攻击者也能重新夺回控制权。
从攻击目标的选择来看,QLNX代表了软件供应链攻击的进化方向。传统供应链攻击往往盯着上游的流行库,而QLNX直接瞄准生产这些库的人——开发者的工作站通常防护较弱,却持有通往核心基础设施的密钥。一次成功的入侵,可能同时污染多个包管理生态。
Trend Micro的研究人员强调,这种针对开发环境的系统性凭证收集,对现代软件供应链构成了"严重风险"。当攻击者能够冒充合法维护者发布更新时,传统的代码签名和版本校验机制都可能失效——因为恶意代码本身就是"官方"的。
目前安全社区尚未观察到QLNX的大规模部署迹象,但其技术成熟度表明这并非实验性工具。对于开发者和DevOps团队而言,重新审视工作站的密钥管理策略、实施凭证轮换机制、以及隔离构建环境,或许比任何时候都更加紧迫。
热门跟贴