Giriş
Son günlerde, daha önce belgelenmemiş bir Linux implantı olan Quasar Linux RAT (QLNX), geliştiricilerin sistemlerini hedef alarak sızma ve veri çalma gibi işlevler gerçekleştirmeye başladı. Bu durum, yazılım tedarik zinciri için ciddi bir güvenlik tehdidi oluşturuyor.
Saldırı Nasıl Çalışıyor?
QLNX, geliştirici ve DevOps kimlik bilgilerini hedef alarak gizli bir varlık sağlamayı amaçlıyor. Zarar verme yetenekleri arasında şunlar bulunmaktadır:
- Kredi kartı bilgilerini çalma
- Tuş kaydı yapma
- Dosya manipülasyonu
- Pano izleme
- Ağ tünelleme
Araştırmacılar, QLNX’nin kimlik bilgilerini hassas dosyalardan topladığını belirtmektedir. Bu dosyalar arasında:
- .npmrc (npm tokenleri)
- .pypirc (PyPI kimlik bilgileri)
- .git-credentials
- .aws/credentials
- .kube/config
- .docker/config.json
- .vault-token
- Terraform kimlik bilgileri
- GitHub CLI tokenleri
- .env dosyaları
Bu tür bir sızıntı, saldırganların NPM veya PyPI kayıtlarına kötü niyetli paketler yüklemesine, bulut altyapısına erişmesine ya da CI/CD süreçleri üzerinden geçmesine olanak tanır.
Etkilenen Sistemler
QLNX, bellek üzerinden dosyalar olmadan çalışarak kendini bir çekirdek iş parçacığı (örneğin, kworker veya ksoftirqd) olarak gizleyebiliyor. Aynı zamanda, kapalı alanları tespit etmek, sistem günlüklerini silmek ve kalıcılık kurmak için çeşitli yöntemler kullanıyor:
- systemd
- crontab
- .bashrc shell iğnesi
Saldırgan, QLNX’nin kontrolünü ele geçirerek, komut ve kontrol (C2) sunucusu üzerinden 58 farklı komut çalıştırabiliyor.
Çözüm ve Korunma
Saldırının etkisini azaltmak ve sistemlerinizi korumak için şu adımları atmalısınız:
- Sistem yazılımlarınızı ve bağımlılıklarını güncelleyerek koruma sağlayın.
- Şüpheli veya bilinmeyen kaynaklardan gelen paketleri yüklemekten kaçının.
- Güvenlik duvarınızı ve ağ yapılandırmalarınızı gözden geçirin.
- İşletim sisteminizdeki güvenlik açıklarını düzenli olarak kontrol edin ve kapatın.
Ayrıca, port kapama ve ağ izleme gibi ek güvenlik önlemleri almak da faydalı olacaktır.
Sonuç
Geliştiriciler ve DevOps ekipleri, Quasar Linux RAT’ın potansiyel tehditleri hakkında bilgi sahibi olmalı ve gerekli önlemleri bir an önce almalılar. Sistemlerinizi güncelleyin, yanlış yapılandırmaları düzeltin ve belirsiz kaynaklardan gelen bağlantıları sürekli izleyin.
