針對開發者與 DevOps 工程師的環境,最近出現了一款名為 Quasar Linux RAT(簡稱 QLNX)的遠端控制木馬。這類惡意軟體的目標非常明確:它不只是想控制單一台電腦,而是將開發者的工作站視為進入企業軟體供應鏈的跳板。對於工程師來說,最危險的不是電腦被駭,而是你的開發權限被盜用,導致惡意程式被植入到公司發布的套件或雲端基礎設施中。
開發者環境的致命弱點:憑證 harvesting
QLNX 最核心的威脅在於其強大的憑證 harvesting(憑證採集)能力。所謂 harvesting,是指惡意程式系統性地搜尋並提取儲存在本地端的所有敏感金鑰與密碼。
它會專門掃描開發者常用的設定檔,例如 npm 的 .npmrc、PyPI 的 .pypirc、Git 的 .git-credentials,以及 AWS 憑證、Kubernetes 的 kubeconfig、Docker 設定檔、HashiCorp Vault token 和 .env 環境變數檔。
如果這些檔案被盜取,攻擊者就能直接以開發者的身份將惡意程式碼推送至 NPM 或 PyPI 等公開套件庫,或者直接控制雲端伺服器與 CI/CD 部署管線。這會造成供應鏈污染,讓所有下載該套件的使用者全部中招。
多層次的隱匿與持久化技術
為了在系統中長期潛伏而不被發現,QLNX 採用了極其複雜的隱匿手段,這對初級工程師來說是一個很好的反面教材,展示了現代惡意軟體如何對抗系統管理工具。
首先是記憶體執行與偽裝。它採取 fileless(無檔案)執行方式,直接在記憶體中運行,減少在硬碟上留下痕跡。同時,它會將自己的進程名稱偽裝成 Linux 核心執行緒,例如 kworker 或 ksoftirqd,讓管理員在查看進程清單時以為是正常的系統運作。
其次是強大的持久化機制。持久化是指即便系統重啟,惡意程式仍能自動啟動。QLNX 提供了至少七種不同的方法,包括修改 systemd 服務、設定 crontab 定時任務,以及直接在 .bashrc 殼層設定檔中注入指令。
最值得關注的是它的兩層 Rootkit(根킷/隱匿工具)架構。Rootkit 是指能修改作業系統核心或關鍵函式庫,用來隱藏自身活動的工具。
第一層是 Userland Rootkit,利用 LD_PRELOAD 機制。這是一種 Linux 動態連結器的特性,允許程式在載入標準函式庫前先載入自定義函式庫。QLNX 利用此特性攔截系統調用,讓自己的檔案和進程在使用者層級不可見。
第二層是 Kernel-level eBPF 組件。eBPF 是一種強大的 Linux 核心技術,允許在不修改核心源碼的情況下執行程式碼。QLNX 利用 eBPF 攔截核心事件,使得即便使用 ps、ls 或 netstat 等標準管理指令,也完全看不到該木馬的進程、檔案或網路連接埠。
深度攔截:PAM 鉤子與資料外傳
除了隱藏自己,QLNX 還針對 Linux 的認證機制下手。它使用了 PAM(Pluggable Authentication Modules,可插拔認證模組)的 inline-hook 技術。PAM 是 Linux 處理登入認證的標準框架,QLNX 透過在 PAM 中植入後門,可以在使用者輸入密碼的瞬間攔截明文憑證,甚至記錄 SSH 連線的數據。
一旦獲取資料,它會透過 raw TCP、HTTPS 或 HTTP 與 C2(Command and Control,指令控制伺服器)溝通。攻擊者可以透過 C2 發送 58 種不同的指令,包括執行 Shell 指令、截圖、記錄鍵盤輸入(Keylogging)、建立 SOCKS 代理伺服器或 TCP 隧道,甚至建立 P2P 網狀網路來橫向移動。
總結與防禦啟示
QLNX 的危險不在於單一功能,而在於它將 隱匿、持久化、憑證竊取 與 供應鏈攻擊 串聯成一個完整的攻擊流。
對於開發者而言,這提醒我們絕對不能將敏感金鑰(Secrets)以明文形式儲存在 .env 或設定檔中。建議使用專業的 Secret Management 工具(如 HashiCorp Vault 或雲端原生金鑰管理服務),並實施嚴格的權限最小化原則,減少本地端儲存長期有效憑證的風險。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。