Backdoor Quasar Linux tinh vi nhắm mục tiêu vào các nhà phát triển phần mềm

Trend Micro vừa phát hiện một backdoor Linux nguy hiểm được thiết kế đặc biệt để đánh cắp thông tin xác thực của các nhà phát triển trên toàn bộ chuỗi cung ứng phần mềm. Được đặt tên là Quasar Linux (QLNX), công cụ truy cập từ xa (RAT) này sở hữu kiến trúc mô-đun, sử dụng nhiều cơ chế để duy trì tồn tại và né tránh sự phát hiện, đồng thời tích hợp cả rootkit để cung cấp cho kẻ tấn công quyền truy cập từ xa vào máy bị nhiễm.

Linux malware

Mục tiêu chính của QLNX là đánh cắp thông tin đăng nhập, khóa và token của nhà phát triển, cho phép các operator của nó tiếp cận các công cụ phát triển, môi trường đám mây và kho lưu trữ mã nguồn. Malware này nhắm trực tiếp vào thông tin xác thực và cấu hình của AWS, token Kubernetes, thông tin đăng nhập Docker Hub, token truy cập và cấu hình Git, token xác thực NPM và khóa API PyPI. Điều này có thể cho phép kẻ tấn công phát hành các gói phần mềm độc hại thông qua các tài khoản nhà phát triển đã được thiết lập.

Nguy cơ tấn công chuỗi cung ứng

Theo Trend Micro, một kẻ tấn công triển khai thành công QLNX vào một người bảo trì gói phần mềm sẽ giành được quyền truy cập vào quy trình xuất bản của người đó. Một sự xâm nhập đơn lẻ có thể được khai thác âm thầm để cài mã độc (trojanize) vào các gói phần mềm, chèn cửa sau vào các bản dựng (build artifacts), hoặc xoay sang các môi trường đám mây nơi chứa hạ tầng sản xuất.

Khả năng ẩn mình và Rootkit

QLNX thực thi hoàn toàn trong bộ nhớ, giả mạo tên quy trình và có thể tự xóa để né tránh phát hiện. Nó cũng thực hiện trinh sát hệ thống để phát hiện các vùng chứa (container), ẩn các quy trình, cổng và tệp cụ thể, cũng như xóa nhật ký hệ thống.

Đặc biệt đáng lo ngại, malware này triển khai một cửa sau Pluggable Authentication Module (PAM) để thu thập thông tin xác thực và thu thập thông tin hệ thống rộng rãi, bao gồm nội dung clipboard, khóa SSH và hồ sơ trình duyệt. QLNX chứa hai triển khai cửa sau PAM: cái đầu tiên thu thập thông tin xác thực dạng văn bản thuần từ các sự kiện đăng nhập, chứa tính năng bỏ qua mật khẩu chính và ghi lại dữ liệu phiên SSH đi; cái thứ hai tải vào các quy trình được liên kết động để trích xuất tên dịch vụ, tên người dùng và token xác thực.

Malware này sở hữu kiến trúc rootkit hai tầng, triển khai các móc (hooks) không gian người dùng thông qua thư viện dùng chung LD_PRELOAD — vốn cũng cho phép duy trì tồn tại — cùng với một bộ điều khiển rootkit eBPF quản lý các bản đồ BPF ở cấp độ nhân.

Kiểm soát và Duy trì bền bỉ

QLNX có thể duy trì tồn tại theo sáu cách khác nhau, sử dụng các mục crontab, mục desktop, tập lệnh init, tệp dịch vụ và dòng lệnh shell, dựa trên lệnh nhận được từ người điều hành. Nó có thể triển khai nhiều phương thức cùng một lúc trên một hệ thống.

Malware hỗ trợ 58 lệnh riêng biệt, cho phép kẻ tấn công tương tác với shell, liệt kê và thao tác tệp cũng như quy trình, tạo thư mục, tải lên và tải xuống tệp, khởi động lại hoặc tắt hệ thống, mở URL, hiển thị thông báo, mở socket TCP, thu thập thông tin nhạy cảm, chụp màn hình, ghi nhật ký thao tác phím và sử dụng thông tin xác thực SSH để thực thi lệnh trên máy chủ từ xa.

“Implant QLNX được xây dựng để ẩn mình và đánh cắp thông tin xác thực trong thời gian dài. Điều khiến nó đặc biệt nguy hiểm không phải là bất kỳ tính năng đơn lẻ nào, mà là cách các khả năng của nó kết nối thành một quy trình tấn công hợp lý: xâm nhập, xóa khỏi đĩa, duy trì tồn tại thông qua sáu cơ chế dư thừa, ẩn mình ở cả cấp độ không gian người dùng và cấp độ nhân, sau đó thu thập những thông tin xác thực quan trọng nhất,” Trend Micro nhận định.