La nube en riesgo y contraseñas filtradas: Quasar Linux, la nueva pesadilla para ingenieros DevOps
Los sistemas de seguridad anuncian éxitos mientras los ciberdelincuentes campan a sus anchas en su red.
El nuevo implante para Linux Quasar Linux amenaza no solo a estaciones de trabajo individuales, sino a toda la cadena de desarrollo de software. El conjunto malicioso está dirigido a entornos donde se crea, compila y publica código, por lo que las credenciales robadas pueden convertirse rápidamente en un ataque contra los usuarios de repositorios y servicios en la nube populares.
Especialistas de Trend Micro estudiaron un implante Quasar Linux no descrito anteriormente, también conocido como QLNX. El malware combina funciones de rootkit, puerta trasera y herramienta para el robo de credenciales. Según la compañía, QLNX se despliega en entornos de desarrollo y DevOps relacionados con npm, PyPI, GitHub, AWS, Docker y Kubernetes.
El principal peligro de este enfoque está relacionado con el acceso a claves, tokens y configuraciones que sustentan la compilación y entrega del software. Al obtener el control de la estación de trabajo de un desarrollador, los atacantes pueden eludir parte de las medidas de seguridad corporativas y usar las credenciales robadas para publicar paquetes infectados en repositorios públicos.
QLNX está diseñado para operar de forma sigilosa y permanecer largo tiempo en el sistema. El implante funciona en memoria, elimina el binario original del disco, limpia registros, enmascara nombres de procesos y borra rastros que podrían ayudar en una investigación. Trend Micro indica que el malware compila componentes de rootkit y módulos PAM para la puerta trasera directamente en el host infectado mediante GNU Compiler Collection.
Para persistir, QLNX utiliza siete mecanismos a la vez, incluyendo LD_PRELOAD, systemd, crontab, init.d, XDG autostart e inyección en .bashrc. Este conjunto ayuda al malware a cargarse en procesos enlazados dinámicamente y a recuperarse tras intentos de finalización.
La funcionalidad del implante cubre casi todo el ciclo de ataque. QLNX proporciona al operador una shell remota, administra archivos y procesos, mantiene comunicación con el servidor de comando mediante TCP/TLS o HTTP/S, oculta procesos, archivos y puertos de red a través de un rootkit de usuario y un componente eBPF a nivel de kernel.
Módulos individuales roban claves SSH, datos de navegadores, configuraciones en la nube y de desarrolladores, el contenido de /etc/shadow y el portapapeles, además de interceptar credenciales mediante PAM. Un incidente similar se registró recientemente en el ecosistema PyPI: un paquete infectado buscaba claves SSH, tokens de AWS y secretos de Kubernetes directamente en el entorno del desarrollador.
El conjunto malicioso también puede registrar pulsaciones de teclas, hacer capturas de pantalla, rastrear actividad de archivos mediante inotify, construir túneles TCP, levantar proxies SOCKS, escanear puertos y moverse por la infraestructura vía SSH. El soporte para una red peer-to-peer ayuda a mantener el control incluso si fallan nodos individuales.
Trend Micro no reveló información sobre ataques concretos ni vinculó QLNX a ningún grupo. La escala de uso del implante es aún desconocida. En el momento de la publicación, solo cuatro soluciones de seguridad detectaban el binario malicioso, y la compañía entregó indicadores de compromiso para buscar infecciones. Los riesgos para la cadena de suministro de software de este tipo de amenazas también son registrados por la industria nacional: Positive Technologies actualizó recientemente su servicio para rastrear lanzamientos maliciosos y eliminados de proyectos de código abierto.