Ein neuer Trojaner für den Fernzugriff, Quasar Linux, zielt direkt auf Softwareentwickler ab. Sein Ziel ist es nicht nur, persönliche Daten zu stehlen, sondern in Systeme einzudringen, um Zugangsschlüssel und Passwörter zu entwenden. Mit diesen Anmeldeinformationen versuchen die Angreifer, die Lieferkette zu kompromittieren, indem sie bösartigen Code in legitime Anwendungen einschleusen, um Tausende von Endbenutzern zu infizieren, ohne Verdacht zu erregen.
Wie der RAT Quasar in Entwicklungsumgebungen operiert 🛡️
Quasar Linux verhält sich wie ein klassischer RAT, jedoch mit einer an Entwicklungsumgebungen angepassten Tarnschicht. Sobald er sich im System befindet, stellt der Schadcode eine Fernverbindung zum Angreifer her, was die Ausführung von Befehlen und die Extraktion von Tokens, SSH-Schlüsseln und Anmeldeinformationen ermöglicht, die in Paketverwaltungen oder lokalen Repositories gespeichert sind. Die Infektion verbreitet sich in der Regel über Downloads gefälschter Bibliotheken oder Updates von Build-Tools, wobei das Vertrauen des Entwicklers in seine Toolchain ausgenutzt wird.
Der Entwickler, das schwächste Glied in der Kette 😅
Es stellt sich heraus, dass die wahre Achillesferse der Computersicherheit nicht der Benutzer ist, der Raubkopien von Spielen herunterlädt, sondern der Entwickler, der Passwörter wie 1234 für sein Repository verwendet. Quasar Linux weiß, dass ein einziger schlecht gesicherter Token die Tür zu einem gesamten Ökosystem öffnen kann. Während der Entwickler also seinen Kaffee trinkt, aktualisiert der Schadcode bereits seinen Lebenslauf, um bei der Konkurrenz zu arbeiten. Ironie des Schicksals: Derjenige, der den Code schreibt, wird selbst Teil des bösartigen Codes.