B
今週中
ソフトウェア開発者を標的とした新しいLinux向けマルウェア「Quasar Linux (QLNX)」
📌 一言でいうと
ソフトウェア開発者を標的とした新しいLinux向けマルウェア「Quasar Linux (QLNX)」が発見されました。このマルウェアはルートキット、バックドア、認証情報窃取機能を備えており、npmやPyPI、GitHubなどの開発環境に展開されます。メモリ上で動作し、ログの消去やプロセス名の偽装を行うなど、高度なステルス性と永続化メカニズムを実装しているのが特徴です。
🔍該当判定
- 社内でLinux OSを搭載したサーバーやPCを利用している
- npmやPyPIなどの外部ライブラリを使用してソフトウェア開発を行っている
- GitHub, AWS, Docker, Kubernetesなどの開発・運用環境を利用している
- Linux環境でgcc(GNU Compiler Collection)などのコンパイラをインストールしている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
開発環境における不審なパッケージのインストールを制限し、LD_PRELOADなどの環境変数の監視を強化すること。また、開発用サーバーの整合性チェックとログの外部転送を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Linux向け新マルウェア「Quasar Linux (QLNX)」への対応について
お疲れさまです。Linux環境を標的とした高度なインプラント「Quasar Linux (QLNX)」に関する情報共有です。
■ 概要
開発者およびDevOps環境(npm, PyPI, GitHub, AWS, Docker, Kubernetes等)を標的としたマルウェアです。gccを用いてルートキットやPAMバックドアを動的にコンパイルし、メモリ上で動作することで検知を回避します。LD_PRELOADやsystemd、.bashrc注入など7つの永続化手法を用いています。
■ 影響範囲
- Linuxベースの開発環境およびCI/CDパイプライン
- 外部パッケージマネージャー(npm, PyPI等)を利用するシステム
■ 対応手順
1. 開発環境における不審なアウトバウンド通信および未知のプロセスの監視を強化してください。
2. /etc/ld.so.preload 等の不審な設定変更がないか確認してください。
3. 開発者が利用するライブラリの依存関係を精査し、信頼できないソースからのパッケージ導入を禁止してください。
■ 参考情報
- Trend Micro Analysis Report
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。Linux環境を標的とした高度なインプラント「Quasar Linux (QLNX)」に関する情報共有です。
■ 概要
開発者およびDevOps環境(npm, PyPI, GitHub, AWS, Docker, Kubernetes等)を標的としたマルウェアです。gccを用いてルートキットやPAMバックドアを動的にコンパイルし、メモリ上で動作することで検知を回避します。LD_PRELOADやsystemd、.bashrc注入など7つの永続化手法を用いています。
■ 影響範囲
- Linuxベースの開発環境およびCI/CDパイプライン
- 外部パッケージマネージャー(npm, PyPI等)を利用するシステム
■ 対応手順
1. 開発環境における不審なアウトバウンド通信および未知のプロセスの監視を強化してください。
2. /etc/ld.so.preload 等の不審な設定変更がないか確認してください。
3. 開発者が利用するライブラリの依存関係を精査し、信頼できないソースからのパッケージ導入を禁止してください。
■ 参考情報
- Trend Micro Analysis Report
対応優先度: 高
対応期限: 速やかに確認
Subject: [Technical Alert] New Linux Malware "Quasar Linux (QLNX)"
Dear Team,
We are sharing information regarding a newly discovered Linux implant named Quasar Linux (QLNX).
■ Overview
QLNX targets software developers and DevOps environments (npm, PyPI, GitHub, AWS, Docker, Kubernetes). It is highly stealthy, utilizing in-memory execution, log wiping, and dynamic compilation of rootkit shared objects and PAM backdoor modules via gcc. It employs seven persistence mechanisms, including LD_PRELOAD, systemd, and .bashrc injection.
■ Scope
- Linux-based development environments and CI/CD pipelines.
- Systems utilizing external package managers (npm, PyPI, etc.).
■ Recommended Actions
1. Enhance monitoring for suspicious outbound traffic and unknown processes in development environments.
2. Audit system configuration files for unauthorized changes, specifically /etc/ld.so.preload.
3. Enforce strict policies on the installation of third-party libraries and verify package integrity.
■ Reference
- Trend Micro Analysis Report
Priority: High
Deadline: Immediate review
Dear Team,
We are sharing information regarding a newly discovered Linux implant named Quasar Linux (QLNX).
■ Overview
QLNX targets software developers and DevOps environments (npm, PyPI, GitHub, AWS, Docker, Kubernetes). It is highly stealthy, utilizing in-memory execution, log wiping, and dynamic compilation of rootkit shared objects and PAM backdoor modules via gcc. It employs seven persistence mechanisms, including LD_PRELOAD, systemd, and .bashrc injection.
■ Scope
- Linux-based development environments and CI/CD pipelines.
- Systems utilizing external package managers (npm, PyPI, etc.).
■ Recommended Actions
1. Enhance monitoring for suspicious outbound traffic and unknown processes in development environments.
2. Audit system configuration files for unauthorized changes, specifically /etc/ld.so.preload.
3. Enforce strict policies on the installation of third-party libraries and verify package integrity.
■ Reference
- Trend Micro Analysis Report
Priority: High
Deadline: Immediate review