概要
Trend Microの研究者が、以前には報告されていなかったLinux向けマルウェア「Quasar Linux RAT(QLNX)」を新たに発見した。このリモートアクセス型トロイの木馬は、開発者やDevOps環境を主要ターゲットとしており、パッケージレジストリやクラウドインフラへのアクセス権を持つ認証情報を幅広く窃取することを目的としている。攻撃者はこれらの認証情報を悪用してソフトウェアの発行パイプラインへの不正アクセスを確立し、悪意のあるコードを正規パッケージに混入させるサプライチェーン攻撃を試みる。
窃取対象となる認証情報と機能
QLNXが標的とする認証情報の範囲は非常に広く、開発環境に存在する主要なシークレット情報を網羅している。具体的には .npmrc(NPMレジストリ)、.pypirc(PyPI)、.git-credentials(Git)、.aws/credentials(AWS)、.kube/config(Kubernetes)、.docker/config.json(Docker)、.vault-token(HashiCorp Vault)、Terraform認証情報、GitHub CLIトークン、および .env ファイルが対象となっている。58種類のコマンドをサポートする本マルウェアは、認証情報収集のほかにもキーロギング、ファイル操作、クリップボードモニタリング、ネットワークトンネリングといった多彩な事後侵害機能を備え、ホスト全体の完全な制御を可能にする。
高度な隠蔽・永続化機構
QLNXが特に危険視される理由のひとつが、その検出困難な隠蔽・永続化技術にある。マルウェアはメモリ上でのファイルレス操作を実行するほか、カーネルスレッド(kworker、ksoftirqd)に偽装してプロセスを隠蔽する。さらにeBPF(Extended Berkeley Packet Filter)を活用したユーザーランドとカーネルレベルを組み合わせた二重層のrootkitアーキテクチャを採用しており、標準的な監視ツールからプロセス・ファイル・ネットワークポートを隠す。永続化手法も7種類に及び、systemd、crontab、.bashrcへのシェルインジェクションを使用するほか、PAM(Pluggable Authentication Module)のインラインフックを通じてプレーンテキスト認証情報を傍受する機能も持つ。C2通信にはRaw TCP、HTTPS、HTTPの複数プロトコルを使い分ける。
サプライチェーンへの影響と対策の重要性
パッケージメンテナーの開発環境にQLNXが侵入した場合、攻撃者はNPMやPyPIなどの発行パイプラインを掌握し、多数のダウンストリームプロジェクトに影響を及ぼす悪意あるパッケージを配布できる状態となる。初期侵入ベクトルはいまだ特定されていないものの、一度感染するとその影響はオープンソースエコシステム全体に波及しうる。開発者はシークレット管理ツールの活用や定期的な認証情報のローテーション、異常なプロセスや通信の監視強化を通じてリスクを低減することが求められる。