Новый Linux-имплант угрожает всей цепочке разработки ПО

Новый Linux-имплант Quasar Linux угрожает не только отдельным рабочим станциям, но и всей цепочке разработки ПО. Эксперт «Группы Астра» рассказал, как должна строиться защита от таких атак.

Вредоносный набор нацелен на среды, где создают, собирают и публикуют код, поэтому украденные доступы могут быстро превратиться в атаку на пользователей популярных репозиториев и облачных сервисов.

Эксперты Trend Micro исследовали ранее не описанный имплант Quasar Linux, также известный как QLNX. Вредоносная программа сочетает функции руткита, бэкдора и инструмента для кражи учётных данных. По данным компании, QLNX разворачивают в средах разработки и DevOps, связанных с npm, PyPI, GitHub, AWS, Docker и Kubernetes, подробнее пишет Securitylab.

Главная опасность такого подхода связана с доступом к ключам, токенам и настройкам, которые лежат в основе сборки и доставки ПО. Получив контроль над рабочей станцией разработчика, злоумышленники могут обойти часть корпоративных средств защиты и использовать украденные данные для публикации заражённых пакетов в открытых репозиториях.

QLNX рассчитан на скрытную работу и долгую жизнь в системе. Имплант работает в памяти, удаляет исходный бинарный файл с диска, чистит журналы, маскирует имена процессов и стирает следы, которые могли бы помочь при расследовании. Trend Micro указывает, что вредоносная программа прямо на заражённом хосте компилирует компоненты руткита и PAM-модули для бэкдора через GNU Compiler Collection.

Trend Micro не раскрыла сведения о конкретных атаках и не связала QLNX с какой-либо группировкой. Масштаб применения импланта пока неизвестен.

Ситуацию прокомментировал эксперт первой российской платформы для работы с кодом, руководитель продукта GitFlic (входит в «Группу Астра») Кирилл Довгаль.

«История с Quasar Linux показывает, что атаки на цепочку поставки ПО всё чаще начинаются не с эксплуатации уязвимости в самом приложении, а с компрометации рабочего места разработчика или DevOps-инженера. Очевидно, что защита должна строиться не вокруг одного антивируса или одного сканера, а вокруг всего контура разработки. Например, наша платформа GitFlic помогает снизить такие риски за счёт управляемого процесса внесения изменений: запросов на слияние, обязательных одобрений, проверки статуса CI/CD-конвейера перед merge, отчётов безопасности и контроля доступа к веткам. Это позволяет не пропускать изменения в целевые ветки без ревью и автоматизированных проверок.

Отдельное важное направление — анализ кода и зависимостей. Для минимизации ИБ-инцидентов в разработке в российских Devops-платформах должны применяться практики РБПО, которые включают в себя необходимый набор суверенных инструментов/анализаторов и антивирусное сканирование.

Также не менее критична работа с секретами. В таких атаках основной ущерб часто возникает после кражи токенов, ключей и конфигураций. В таких случаях разработчикам может помочь технологическое объединение инструментов для защиты всего supply chain. Здесь GitFlic может использоваться вместе со StarVault — российским решением класса HashiCorp Vault для централизованного хранения секретов.

Важно понимать, что ни одна DevSecOps-платформа сама по себе не «лечит» уже заражённую рабочую станцию. Но в свою очередь помогает уменьшить последствия таких инцидентов: ограничить неконтролируемые изменения в коде, встроить проверки безопасности в CI/CD, выявлять секреты до попадания в репозиторий, анализировать зависимости и хранить чувствительные данные во внешнем защищённом хранилище. Именно такой комплексный подход нужен для защиты современной цепочки поставки ПО», — уверен эксперт Кирилл Довгаль.