كشف باحثو شركة Trend Micro عن برمجية خبيثة غير موثقة سابقًا تحمل اسم Quasar Linux RAT (QLNX)، تستهدف أنظمة المطورين وفرق DevOps بهدف سرقة بيانات الاعتماد الحساسة والتسلل إلى سلاسل التوريد البرمجية. هذا التهديد يمثل نقلة نوعية في استهداف بيئات التطوير، حيث يسعى المهاجمون إلى السيطرة على حسابات النشر والوصول إلى البنى السحابية وخطوط CI/CD.
سرقة بيانات الاعتماد من ملفات عالية القيمة
يتميز QLNX بقدرة منهجية على استخراج الأسرار من ملفات حساسة مثل:
- .npmrc (رموز NPM)
- .pypirc (بيانات اعتماد PyPI)
- .git-credentials
- .aws/credentials
- .kube/config
- .docker/config.json
- .vault-token
- بيانات اعتماد Terraform
- رموز GitHub CLI
- ملفات .env
هذا يعني أن المهاجم الذي ينجح في نشر QLNX على جهاز مطور يمكنه دفع حزم خبيثة إلى مستودعات مثل NPM أو PyPI، أو الوصول إلى البنى السحابية، أو التسلل عبر خطوط النشر الآلي.
قدرات متقدمة للتخفي والاستمرارية
ينفذ QLNX نفسه من الذاكرة دون ملفات، ويتنكر كخيط نواة مثل kworker أو ksoftirqd. كما يمسح سجلات النظام لإخفاء آثاره، ويعتمد على سبع طرق مختلفة لضمان الاستمرارية، منها systemd وcrontab وحقن .bashrc.
إضافة إلى ذلك، يدعم البرمجية:
- تنفيذ أوامر شل.
- إدارة الملفات وحقن التعليمات البرمجية في العمليات.
- التقاط لقطات شاشة وتسجيل ضغطات المفاتيح.
- إنشاء بروكسيات SOCKS وأنفاق TCP.
- تشغيل Beacon Object Files (BOFs).
- إدارة شبكة P2P للتواصل بين الأجهزة المصابة.
استغلال PAM لجمع بيانات الاعتماد
يتضمن QLNX بابًا خلفيًا يعتمد على وحدات PAM لاعتراض بيانات الاعتماد النصية أثناء أحداث المصادقة، وتسجيل بيانات جلسات SSH الصادرة، وإرسالها إلى خادم التحكم. كما يحتوي على مسجل بيانات اعتماد PAM ثانٍ يتم تحميله تلقائيًا في كل عملية مرتبطة ديناميكيًا لاستخراج اسم الخدمة واسم المستخدم والرمز.
بنية جذرية مزدوجة للتخفي
يعتمد QLNX على بنية جذرية ثنائية المستويات:
- Rootkit في مساحة المستخدم عبر آلية LD_PRELOAD لإخفاء العمليات والملفات.
- مكون Kernel eBPF يستخدم نظام BPF لإخفاء العمليات والمنافذ من أدوات مثل ps، ls، netstat عند تلقي أوامر من خادم التحكم.
خطورة التهديد على سلاسل التوريد
ما يجعل QLNX خطيرًا ليس ميزة واحدة، بل تكامل قدراته في سير عمل متكامل: الدخول، المسح من القرص، الاستمرارية عبر آليات متعددة، التخفي في مستويات مختلفة، ثم سرقة بيانات الاعتماد الأكثر أهمية. هذا يضع سلاسل التوريد البرمجية أمام تهديد مباشر قد يؤدي إلى نشر حزم خبيثة على نطاق واسع، مع تأثيرات متسلسلة على آلاف المستخدمين والمشاريع.
