Linux geliştiricilerinin sistemlerini hedef alan yeni bir uzaktan erişim truva atı (RAT) olan Quasar Linux (QLNX) ortaya çıktı. İlk kez Mayıs ayı başında Trend Micro tarafından belgelenen Linux RAT, rootkit teknikleri, kimlik bilgileri hırsızlığı ve gizlilik mekanizmalarının birleşimi sayesinde, tehdit aktörlerinin eksiksiz, gizli bir saldırı iş akışı yürütmesine olanak tanıyor.
Duyurudan sonra devamını okuyun
Trend Micro'daki güvenlik araştırmacıları, QLNX'in neden olduğu belirli hasar vakalarından bahsetmiyor. Ayrıntılı analizlerinde, Linux kötü amaçlı yazılımlarının tüm yazılım tedarik zinciri boyunca geliştirici kimlik bilgilerini ve DevOps'u hedef alması ve virüslü sistemlerden kaldırılmasının zor olması nedeniyle tehdit potansiyelinin hâlâ yüksek olduğunu belirtiyorlar.
Analiz sırasında Trend Micro, QLNX için ayrıntılı tespit kurallarına sahip tek AV satıcısı gibi görünüyordu. SOC Prime artık devrede.
Davetsiz kalıcı misafir
QLNX, virüs bulaşmış sistemlerde npm, PyPI, GitHub, Amazon Web Services (AWS), Docker ve Kubernetes'ten sırları çalar. Linux PAM kimlik doğrulama sürecinde özel SSH anahtarları, tarayıcı oturum açma bilgileri, kabuk geçmişi, pano içerikleri ve şifrelenmemiş parolalar gibi bilgiler de veri hırsızlarının odak noktasıdır.
Bilgiler, saldırganın uzak sunucusuna HTTPS, HTTP veya özel bir TLS protokolü aracılığıyla akar. Kötü amaçlı yazılım aynı iletişim kanalı üzerinden komutları da alır. QLNX'in P2P ağ işlevi aynı zamanda verilerin güvenliği ihlal edilmiş diğer sistemler üzerinden yönlendirilmesine de olanak tanıyarak tespit edilmesini ve kaldırılmasını çok daha zorlaştırır.
QLNX, arka planda fark edilmeden çalışabilmek için çok çalıştığı virüs bulaşmış cihazlarda da aynı kalıcılığı gösteriyor. İlk bulaşmanın ardından Linux RAT, ikili dosyalarını siler, bellekte dosya olmadan çalışmaya devam eder, işlem adını taklit eder, sistem günlüklerini ortadan kaldırır ve kısmi bir temizlemeden sonra bile aktif kalmak için yedi yedek kalıcılık mekanizması kurar.
Duyurudan sonra devamını okuyun
Quasar Linux pratikte kendisine adını veriyor. Kötü amaçlı yazılım, kurulum için ~/.config/systemd/user/quasar_linux.service ve /etc/systemd/system/quasar_linux.service gibi systemd girişlerini kullanır.
QLNX, LiteLLM tarzında bir tedarik zinciri saldırısı gerçekleştirmek için tüm gereksinimlere sahiptir. Bir hatırlatma olarak, 24 Mart 2026'da siber suçlular, LiteLLM CI/CD hattından yakalanan bir PyPI jetonunu kullanarak Python paket dizinindeki iki LiteLLM paketini (v1.82.7 ve v1.82.8) tehlikeye attı ve akredite etti.
(mro)
Bir yanıt yazın