تستهدف البرمجية الخبيثة Quasar Linux RAT أنظمة المطورين، مما يثير مخاوف كبيرة حول أمان سلسلة توريد البرمجيات.
Quasar Linux RAT يسرق بيانات مطوري البرمجيات
تم اكتشاف برمجية خبيثة غير موثقة تُعرف باسم Quasar Linux RAT (QLNX) تستهدف أنظمة المطورين لتأسيس موطئ قدم صامت، بالإضافة إلى تسهيل مجموعة واسعة من الوظائف بعد الاختراق، مثل جمع بيانات الاعتماد، وتسجيل ضغطات المفاتيح، والتلاعب بالملفات، ومراقبة الحافظة، ونفق الشبكة.
قال باحثو Trend Micro، علي أكبر زهرابي وأحمد محمد إبراهيم، في تحليل تقني للبرمجية: “يستهدف QLNX بيانات اعتماد المطورين وDevOps عبر سلسلة توريد البرمجيات”.
“يستخرج جامع بيانات الاعتماد أسرارًا من ملفات ذات قيمة عالية مثل .npmrc (رموز npm)، .pypirc (بيانات اعتماد PyPI)، .git-credentials، .aws/credentials، .kube/config، .docker/config.json، .vault-token، بيانات اعتماد Terraform، رموز GitHub CLI، وملفات .env. يمكن أن يؤدي اختراق هذه الأصول إلى السماح للمهاجم بدفع حزم ضارة إلى سجلات NPM أو PyPI، والوصول إلى البنية التحتية السحابية، أو التلاعب عبر خطوط CI/CD”.
المخاطر الناتجة عن QLNX
تُشكل قدرة البرمجية على جمع مجموعة واسعة من بيانات الاعتماد خطرًا شديدًا على بيئات المطورين. يحصل المهاجم الذي ينجح في نشر QLNX ضد مُحافظ الحزم على وصول غير مصرح به إلى خط نشرهم، مما يسمح له بدفع إصدارات ملوثة يمكن أن تؤدي إلى آثار متسلسلة في الأسفل.
يعمل QLNX بدون ملفات من الذاكرة، ويتنكر كخيط نواة (مثل kworker أو ksoftirqd)، وقادر على تقييم المضيف لاكتشاف البيئات الحاوية، ومسح سجلات النظام لإخفاء الآثار، وإعداد الاستمرارية باستخدام سبع طرق مختلفة، بما في ذلك systemd وcrontab وحقن .bashrc.
علاوة على ذلك، يقوم بإخراج البيانات التي جمعها إلى بنية تحتية يتحكم بها المهاجم، ويتلقى أوامر تجعل من الممكن تنفيذ أوامر شل، وإدارة الملفات، وحقن التعليمات البرمجية في العمليات، والتقاط لقطات الشاشة، وتسجيل ضغطات المفاتيح، وإنشاء بروكسي SOCKS ونفق TCP، وتشغيل ملفات كائن Beacon (BOFs)، وحتى إدارة شبكة نظير إلى نظير (P2P).
بالضبط كيف يتم تسليم البرمجية غير واضح. ومع ذلك، بمجرد تأسيس موطئ قدم، تدخل في مرحلة تشغيل رئيسية من خلال تشغيل حلقة مستمرة تحاول باستمرار إنشاء والحفاظ على الاتصال مع خادم القيادة والتحكم (C2) عبر TCP الخام وHTTPS وHTTP. يدعم QLNX ما مجموعه 58 أمرًا مميزًا يمنح المشغلين السيطرة الكاملة على المضيف المخترق.
كما يأتي QLNX مع وحدة مصادقة قابلة للتوصيل (PAM) كخلفية تتداخل مع بيانات الاعتماد النصية خلال أحداث المصادقة، وتسجل بيانات جلسات SSH الصادرة، وتنقل البيانات إلى خادم C2. تدعم البرمجية أيضًا مسجل بيانات اعتماد آخر قائم على PAM يتم تحميله تلقائيًا في كل عملية مرتبطة ديناميكيًا لاستخراج اسم الخدمة واسم المستخدم ورمز المصادقة.
الهندسة المعمارية للبرمجية الخبيثة
تستخدم البرمجية هيكلية جذرية من طبقتين: جذر المستخدم يتم نشره من خلال آلية LD_PRELOAD لمربط الربط الديناميكي في لينكس لضمان بقاء آثار وعمليات البرمجية مخفية. هناك أيضًا مكون eBPF على مستوى النواة يستخدم نظام BPF لإخفاء العمليات والملفات ومنافذ الشبكة من أدوات المستخدم القياسية مثل ps وls وnetstat عند تلقي تعليمات من خادم C2.
قالت Trend Micro: “تم تصميم QLNX من أجل السرية طويلة الأمد وسرقة بيانات الاعتماد”. “ما يجعلها خطيرة بشكل خاص ليس أي ميزة واحدة، ولكن كيف تتكامل قدراتها معًا في سير عمل هجوم متماسك: الوصول، المسح من القرص، الاستمرار عبر ست آليات زائدة، الاختباء على مستوى المستخدم والنواة، ثم جمع بيانات الاعتماد الأكثر أهمية.”
رابط المصدر: https://thehackernews.com/2026/05/quasar-linux-rat-steals-developer.htmlمع تزايد التهديدات، من الضروري أن يتخذ المطورون تدابير وقائية لحماية بياناتهم وبيئاتهم من البرمجيات الخبيثة مثل QLNX.
