Un nuovo trojan di accesso remoto, Quasar Linux, sta prendendo di mira direttamente gli sviluppatori di software. Il suo obiettivo non è solo rubare dati personali, ma infiltrarsi nei sistemi per sottrarre chiavi e password di accesso. Con queste credenziali, gli aggressori cercano di compromettere la catena di fornitura, inserendo codice dannoso in applicazioni legittime per infettare migliaia di utenti finali senza destare sospetti.
Come opera il RAT Quasar negli ambienti di sviluppo 🛡️
Quasar Linux si comporta come un RAT classico, ma con un livello di furtività adattato agli ambienti di sviluppo. Una volta all'interno del sistema, il malware stabilisce una connessione remota con l'aggressore, consentendo l'esecuzione di comandi e l'estrazione di token, chiavi SSH e credenziali memorizzate in gestori di pacchetti o repository locali. L'infezione si diffonde solitamente tramite download di librerie false o aggiornamenti di strumenti di compilazione, sfruttando la fiducia dello sviluppatore nella sua catena di strumenti.
Lo sviluppatore, l'anello più debole della catena 😅
Alla fine, il vero tallone d'Achille della sicurezza informatica non è l'utente che scarica giochi piratati, ma lo sviluppatore che usa password come 1234 per il suo repository. Quasar Linux sa che un singolo token mal custodito può aprire la porta a un intero ecosistema. Così, mentre lo sviluppatore sorseggia il suo caffè, il malware sta già aggiornando il suo CV per lavorare per la concorrenza. Ironie della vita: chi scrive il codice finisce per diventare parte del codice dannoso.