B
今週中
開発者やDevOpsエンジニアを標的とした新しいLinux向けRAT「Quasar Linux RAT (QLNX)」
📌 一言でいうと
開発者やDevOpsエンジニアを標的とした新しいLinux向けRAT「Quasar Linux RAT (QLNX)」が発見されました。このマルウェアは、.npmrcや.aws/credentials、GitHub CLIトークンなどの機密ファイルを窃取し、ソフトウェアサプライチェーンへの侵入を狙います。認証情報の窃取に加え、キーログ、クリップボード監視、ネットワークトンネリングなどの高度な機能を有しています。
🔍該当判定
- 社内でLinux OSを搭載したPCやサーバーを開発・運用に利用している
- npm, PyPI, GitHubなどのパッケージ管理ツールやソースコード管理ツールを利用している
- AWS, Kubernetes, Docker, Terraformなどのクラウド・インフラ管理ツールを利用している
- 設定ファイル(.envや.aws/credentialsなど)に認証キーやパスワードを保存して利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
開発環境における機密情報の管理を徹底し、環境変数やシークレット管理ツールの利用を推奨します。また、不審なプロセスの監視と、特権アクセスの多要素認証(MFA)の導入を検討してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Quasar Linux RAT (QLNX) によるサプライチェーン攻撃の脅威について
お疲れさまです。開発環境を標的とした新型マルウェアに関する情報共有です。
■ 概要
Linux向けRAT「Quasar Linux RAT (QLNX)」が検出されました。本マルウェアは開発者のシステムに潜伏し、.npmrc, .pypirc, .aws/credentials, .kube/config, GitHub CLIトークンなどの認証情報を組織的に窃取します。これにより、NPM/PyPIへの悪意あるパッケージのプッシュや、クラウドインフラへの不正アクセス、CI/CDパイプライン経由の横展開が行われるリスクがあります。
■ 影響範囲
- Linuxベースの開発環境およびDevOpsサーバー
- クラウド認証情報やAPIトークンをローカルファイルで管理している環境
■ 対応手順
1. 開発端末における不審なアウトバウンド通信および未知のプロセスの監視強化
2. .envや設定ファイルへの認証情報のハードコードを禁止し、Vault等のシークレット管理ツールへの移行を推進
3. 開発者アカウントへの多要素認証(MFA)の強制適用
4. 侵害が疑われる場合の認証トークンの即時リセットと再発行
■ 参考情報
- Trend Micro Technical Analysis
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。開発環境を標的とした新型マルウェアに関する情報共有です。
■ 概要
Linux向けRAT「Quasar Linux RAT (QLNX)」が検出されました。本マルウェアは開発者のシステムに潜伏し、.npmrc, .pypirc, .aws/credentials, .kube/config, GitHub CLIトークンなどの認証情報を組織的に窃取します。これにより、NPM/PyPIへの悪意あるパッケージのプッシュや、クラウドインフラへの不正アクセス、CI/CDパイプライン経由の横展開が行われるリスクがあります。
■ 影響範囲
- Linuxベースの開発環境およびDevOpsサーバー
- クラウド認証情報やAPIトークンをローカルファイルで管理している環境
■ 対応手順
1. 開発端末における不審なアウトバウンド通信および未知のプロセスの監視強化
2. .envや設定ファイルへの認証情報のハードコードを禁止し、Vault等のシークレット管理ツールへの移行を推進
3. 開発者アカウントへの多要素認証(MFA)の強制適用
4. 侵害が疑われる場合の認証トークンの即時リセットと再発行
■ 参考情報
- Trend Micro Technical Analysis
対応優先度: 高
対応期限: 速やかに確認
Subject: [Alert] Threat Intelligence: Quasar Linux RAT (QLNX) Targeting Software Supply Chains
Dear Security Team,
We are sharing information regarding a newly discovered Linux implant known as Quasar Linux RAT (QLNX).
■ Overview
QLNX is designed to target developers and DevOps systems to establish a silent foothold. It systematically harvests high-value credentials from files such as .npmrc, .pypirc, .git-credentials, .aws/credentials, .kube/config, and GitHub CLI tokens. The primary objective is to facilitate software supply chain compromises, allowing attackers to push malicious packages to registries or pivot through CI/CD pipelines.
■ Scope of Impact
- Linux-based development workstations and DevOps infrastructure
- Environments storing cloud/API credentials in plaintext local files
■ Recommended Actions
1. Enhance monitoring for suspicious outbound network traffic and unauthorized processes on developer machines.
2. Enforce the use of secret management tools (e.g., HashiCorp Vault) instead of storing credentials in .env or config files.
3. Ensure mandatory Multi-Factor Authentication (MFA) for all developer and administrative accounts.
4. Rotate all API tokens and credentials if a compromise is suspected.
■ Reference
- Trend Micro Technical Analysis
Priority: High
Deadline: Immediate review
Dear Security Team,
We are sharing information regarding a newly discovered Linux implant known as Quasar Linux RAT (QLNX).
■ Overview
QLNX is designed to target developers and DevOps systems to establish a silent foothold. It systematically harvests high-value credentials from files such as .npmrc, .pypirc, .git-credentials, .aws/credentials, .kube/config, and GitHub CLI tokens. The primary objective is to facilitate software supply chain compromises, allowing attackers to push malicious packages to registries or pivot through CI/CD pipelines.
■ Scope of Impact
- Linux-based development workstations and DevOps infrastructure
- Environments storing cloud/API credentials in plaintext local files
■ Recommended Actions
1. Enhance monitoring for suspicious outbound network traffic and unauthorized processes on developer machines.
2. Enforce the use of secret management tools (e.g., HashiCorp Vault) instead of storing credentials in .env or config files.
3. Ensure mandatory Multi-Factor Authentication (MFA) for all developer and administrative accounts.
4. Rotate all API tokens and credentials if a compromise is suspected.
■ Reference
- Trend Micro Technical Analysis
Priority: High
Deadline: Immediate review