Linux-руткит для разработчиков: Quasar крадёт ключи и токены
Главная » Новости
Ландшафт киберугроз 2025: реальные атаки, тренды и практические выводыКиберугрозы становятся сложнее, а человекоуправляемые атаки остаются одним из ключевых рисков для бизнеса. В новом отчете — актуальные тренды и наиболее критичные сценарии. Ключевые инсайты обсудим на вебинаре: какие угрозы сегодня определяют ландшафт ИБ и как повысить устойчивость бизнеса. Участвуйте онлайн или смотрите в записи — она будет доступна всем зарегистрированным.→ Зарегистрироваться на вебинар
Реклама, 18+. АО «Лаборатория Касперского», ИНН 7713140469

Linux-руткит для разработчиков: Quasar крадёт ключи и токены

Екатерина Быстрова 06 Мая 2026 - 09:00
...
Linux-руткит для разработчиков: Quasar крадёт ключи и токены

Исследователи из Trend Micro обнаружили ранее неизвестный Linux-вредонос Quasar Linux (QLNX). По словам экспертов, зловред нацелен на системы разработчиков и DevOps-среды, а также сочетает в себе функции руткита, бэкдора и способен перехватывать учётные данные.

Главная опасность QLNX в том, что он бьёт не просто по отдельным рабочим станциям, а по окружениям, где живут ключи, токены и доступы к инфраструктуре разработки.

Операторов интересуют npm, PyPI, GitHub, AWS, Docker и Kubernetes, что может открыть прямой путь к атакам на цепочки поставок софта.

По данным Trend Micro, после попадания в систему QLNX старается закрепиться максимально незаметно. Он работает в памяти, удаляет исходный бинарный файл с диска, чистит логи, подменяет имена процессов и убирает следы из переменных окружения, которые могли бы помочь при расследовании.

 

Для устойчивости имплант использует сразу несколько механизмов закрепления: LD_PRELOAD, systemd, crontab, init.d-скрипты, XDG autostart и внедрение в .bashrc. Если один способ не сработает или процесс завершат, у вредоносной программы остаются другие варианты вернуться.

Отдельно исследователи выделяют руткит-составляющую QLNX. Она работает на двух уровнях: через userland LD_PRELOAD и через eBPF-компонент на уровне ядра. Это позволяет скрывать процессы, файлы, сетевые порты и другие следы активности. Причём часть компонентов QLNX динамически компилирует прямо на заражённой машине с помощью gcc.

 

Функциональность у вредоноса внушительная. Он может открывать удалённую оболочку, управлять файлами и процессами, перехватывать учётные данные, собирать SSH-ключи, данные браузеров, облачные и developer-конфиги, содержимое /etc/shadow и буфера обмена. Есть также кейлоггер, снятие скриншотов, мониторинг файловой системы, SOCKS-прокси, TCP-туннелирование, сканирование портов и инструменты для перемещения по сети через SSH.

Trend Micro пока не раскрывает данные о конкретных атаках и не связывает QLNX с определённой группировкой. Масштаб распространения тоже остаётся неясным. На момент публикации зловред детектировали только четыре защитных продукты, поэтому риск незаметного присутствия в инфраструктуре выглядит вполне реальным.

Следующая главная новость »
AM LiveУдалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Плата за зарубежный трафик не поможет ограничить использование VPN
Яков Шпунт 06 Мая 2026 - 08:38
Соответствие законодательству РФ Общее Персональный VPNАнонимайзерыСистемы контентной веб-фильтрации
Плата за зарубежный трафик не поможет ограничить использование VPN

Введение платы за зарубежный трафик не поможет ограничить использование средств обхода блокировок. Многие из них уже давно научились маскировать свой трафик под российский, пропуская его через промежуточные узлы внутри страны.

Об этом сетевой «Газете.Ru» рассказал программный инженер и эксперт в области информационной безопасности Пётр Осетров. По его словам, крупные сервисы уже больше года используют маршрутизацию трафика через промежуточные узлы в России.

«Оператор просто не видит следующие узлы при дальнейшей маршрутизации трафика и технически видеть этого не может. Зарубежный маршрут будет обслуживаться уже не мобильным оператором, а промежуточным сервером, который находится вне его контроля — как правило, где-то в российском дата-центре», — уточнил эксперт.

Такой обход появился не как реакция на возможное введение платы за зарубежный трафик, а как способ обойти ограничения прямого доступа ко многим зарубежным сервисам, которые блокируются на уровне систем глубокой фильтрации пакетов (DPI). Этот подход известен как TCP 16–20.

В результате пользователи таких VPN, скорее всего, не почувствуют введения платы за зарубежный трафик: необходимые механизмы обхода разработчики реализовали уже давно.

Информация о возможном введении платы за зарубежный трафик в России начала появляться с конца марта. В апреле она получила подтверждение применительно к мобильным сетям. Однако операторы, как сообщалось ранее, оказались технически не готовы к таким изменениям.

AM LiveУдалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!
Шпионский инструмент Coruna оказался связан с Операцией Триангуляция
Новость
Шпионский инструмент Coruna оказался связан с Операцией Триа...
Мошенники крадут аккаунты россиян через цифры входящего звонка
Новость
Мошенники крадут аккаунты россиян через цифры входящего звон...
Новый Android-троян Oblivion обходит защиту и 2FA, захватывает смартфон
Новость
Новый Android-троян Oblivion обходит защиту и 2FA, захватыва...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.