اكتشف باحثون برمجية Quasar Linux RAT التي تستهدف المطورين لسرقة بيانات الاعتماد والسيطرة على سلاسل توريد البرمجيات وتهديد البنية التحتية السحابية بشكل صامت.
تواجه الأوساط التقنية حالياً تهديداً سيبرانياً متطوراً يستهدف قلب العملية البرمجية، حيث تم رصد غرسة برمجية جديدة تعمل على أنظمة لينكس (Linux) تُدعى Quasar Linux RAT أو اختصاراً (QLNX). تهدف هذه البرمجية الخبيثة إلى إنشاء موطئ قدم سري في أجهزة المطورين والمهندسين للقيام بعمليات تجسس واسعة النطاق وسرقة بيانات حساسة للغاية.
ما هي برمجية Quasar Linux RAT وكيف تعمل؟
تعتبر هذه البرمجية من النوع المتطور الذي يعمل في الذاكرة فقط دون الحاجة إلى ملفات على القرص الصلب (Fileless)، وهو أسلوب يجعل اكتشافها من قبل برامج الحماية التقليدية أمراً صعباً للغاية. وحسب تيكبامين، فإن البرمجية قادرة على انتحال شخصية عمليات النظام الأساسية لتجنب إثارة الشكوك.
- التخفي في شكل خيوط كيرنل (Kernel Threads) مثل kworker.
- القدرة على كشف البيئات الافتراضية والحاويات (Containers).
- مسح سجلات النظام بشكل دوري لإخفاء أي نشاط مريب.
- استخدام 7 طرق مختلفة لضمان البقاء في النظام حتى بعد إعادة التشغيل.
ما هي البيانات التي تسرقها برمجية Quasar من المطورين؟
يركز المهاجمون عبر هذه البرمجية على جمع "الأسرار" الرقمية التي تمنحهم وصولاً غير محدود إلى البنى التحتية السحابية وسلاسل التوريد. تستهدف البرمجية ملفات الإعدادات التي تحتوي على رموز الدخول وكلمات المرور الخاصة بالمنصات العالمية.
أهم الملفات المستهدفة للسرقة:
- ملفات .npmrc الخاصة بتوكنز NPM.
- بيانات الدخول إلى مستودعات PyPI عبر ملف .pypirc.
- ملفات إعدادات أمازون ويب سيرفيسز (AWS) و Kubernetes.
- بيانات الاعتماد الخاصة بـ Docker و Terraform.
- مفاتيح الوصول لـ GitHub CLI وملفات البيئة (.env).
كيف يتم اختراق سلاسل توريد البرمجيات عبر QLNX؟
الخطر الحقيقي لا يتوقف عند سرقة بيانات المطور الفردي، بل يمتد ليشمل ملايين المستخدمين. عندما ينجح المخترق في الوصول إلى حساب مطور يمتلك صلاحيات نشر على منصات مثل NPM أو PyPI، يمكنه حقن أكواد خبيثة داخل تحديثات البرامج الرسمية. وفقاً لما ذكره تيكبامين، فإن هذا النوع من الهجمات يؤدي إلى تسميم سلسلة التوريد بالكامل، مما يجعل الشركات التي تستخدم هذه الحزم البرمجية ضحية للهجوم بشكل تلقائي.
قدرات التحكم الكاملة في الأجهزة المخترقة
بمجرد استقرار البرمجية، تبدأ في الاتصال بخادم التحكم (C2) عبر بروتوكولات متعددة تشمل HTTPS و HTTP. وتدعم البرمجية 58 أمراً مختلفاً تمنح المهاجم سيطرة مطلقة على الجهاز الضحية.
- تسجيل ضربات المفاتيح: لرصد كلمات المرور أثناء كتابتها.
- مراقبة الحافظة: لسرقة النصوص المنسوخة التي قد تحتوي على كلمات مرور.
- إدارة الملفات: تحميل، تعديل، أو حذف الملفات الحساسة.
- إنشاء قنوات مشفرة: تحويل الجهاز المخترق إلى بوابة (Proxy) لمزيد من الهجمات.
- التقاط الشاشة: تصوير نشاط المطور بشكل مباشر.
ثغرة PAM المدمجة لسرقة كلمات المرور
تتضمن Quasar Linux RAT ميزة تقنية خطيرة تعتمد على حقن كود في وحدة المصادقة القابلة للقابس (PAM). تتيح هذه الميزة للمهاجمين اعتراض كلمات المرور بنصوصها الصريحة أثناء عمليات تسجيل الدخول العادية للنظام، بالإضافة إلى تسجيل بيانات جلسات SSH الصادرة من الجهاز، مما يسهل عملية الانتقال الأفقي داخل شبكات الشركات والمؤسسات الكبرى.
في الختام، يمثل ظهور Quasar Linux RAT تطوراً مقلقاً في أساليب استهداف المطورين، ويؤكد ضرورة الاعتماد على إجراءات أمنية مشددة مثل استخدام مفاتيح الأمان الفيزيائية وتشفير ملفات الإعدادات الحساسة بشكل دائم.
