新型Linux恶意软件QLNX攻击开发者系统
发布时间 2026-05-071. 新型Linux恶意软件QLNX攻击开发者系统
5月5日,一种此前未被记录的名为Quasar Linux(QLNX)的Linux植入程序,正利用rootkit、后门和凭证窃取功能攻击开发者系统。该恶意软件已部署在npm、PyPI、GitHub、AWS、Docker和Kubernetes等开发和DevOps环境中,可能导致供应链攻击。据趋势科技研究人员分析,QLNX使用gcc在目标主机上动态编译rootkit共享对象和PAM后门模块。其设计旨在实现隐蔽性和长期持久性:在内存中运行,删除原始二进制文件,擦除日志,伪造进程名称,并清除取证环境变量。该恶意软件采用七种不同的持久化机制,包括LD_PRELOAD、systemd、crontab、init.d脚本、XDG自动启动和.bashrc注入,确保其加载到每个动态链接进程中,并在被终止后重新生成。QLNX包含多个专用于特定活动的功能模块,是一款完整的攻击工具。获得初始访问权限后,QLNX建立无文件立足点,部署持久性和隐蔽机制,进而收集开发者和云凭证。通过攻击开发者工作站,攻击者可绕过企业安全控制,获取支撑软件交付管道的凭据。这与此前发生的供应链攻击事件高度相似,即被盗用的开发者凭证被用于将木马化软件包发布至公共存储库。
https://www.bleepingcomputer.com/news/security/new-stealthy-quasar-linux-malware-targets-software-developers/
2. DAEMON Tools遭植入木马,数千系统沦陷
5月5日,黑客在DAEMON Tools软件的安装程序中植入了木马,自4月8日以来已向数千个从官方网站下载该产品的系统植入了后门。此次供应链攻击导致100多个国家出现数千例感染,但第二阶段的恶意载荷仅部署在十几台机器上,表明这是一次针对高价值目标的定向攻击。接收下一阶段有效载荷的受害者包括俄罗斯、白俄罗斯和泰国的零售、科研、政府和制造组织。当用户下载并执行经过数字签名的木马安装程序后,嵌入在被入侵二进制文件中的恶意代码即被触发。该恶意代码会建立持久性,并在系统启动时激活后门,服务器可远程指示系统下载并执行额外有效载荷。第一阶段的恶意软件是一个基本信息窃取程序,收集主机名、MAC地址、正在运行的进程、已安装软件和系统区域设置等数据,用于受害者画像分析。根据测试结果,部分系统会获得第二阶段——一个轻量级后门,可直接在内存中执行命令、下载文件和运行代码。在至少一起针对俄罗斯教育机构的案例中,卡巴斯基观察到部署了名为QUIC RAT的更高级恶意软件,该软件支持多种通信协议,并能将恶意代码注入合法进程。
https://www.bleepingcomputer.com/news/security/daemon-tools-trojanized-in-supply-chain-attack-to-deploy-backdoor/
3. Palo Alto Networks PAN-OS漏洞遭利用
5月6日,Palo Alto Networks近日发出警告,其PAN-OS系统的一个严重漏洞(编号CVE-2026-0300,CVSS评分9.3)已被恶意利用。该漏洞为缓冲区溢出漏洞,允许未经身份验证的攻击者通过发送特制数据包,在PA系列和VM系列防火墙上以root权限执行任意代码,尤其当用户ID身份验证门户暴露于互联网时风险极高。Palo Alto Networks在安全公告中指出,该漏洞位于User-ID身份验证门户服务中,若按照最佳实践指南将该门户的访问权限限制为仅限受信任的内部IP地址,则可大幅降低风险。该问题不会影响Prisma Access、Cloud NGFW和Panorama设备。目前,该漏洞尚未修复,预计将于2026年5月13日发布补丁。Palo Alto Networks表示,已发现针对用户ID身份验证门户暴露于公共互联网的系统的有限范围漏洞利用行为。
https://securityaffairs.com/191748/security/palo-alto-networks-pan-os-flaw-exploited-for-remote-code-execution.html
4. 谷歌广告遭利用,ManageWP用户遭钓鱼攻击
5月6日,一场通过谷歌赞助搜索结果发起的网络钓鱼活动,正以获取ManageWP平台的登录凭据为目标。ManageWP是GoDaddy旗下用于集中管理WordPress网站群的平台,用户可通过一个控制面板远程管理多个网站,常见用户包括网站开发人员、网络代理机构及企业用户。威胁行为者采用中间人攻击方法,通过虚假登录页面充当受害者和合法ManageWP服务之间的实时代理。据Guardio Labs研究人员警告,针对“managewp”的搜索查询,虚假结果会出现在真实结果上方,诱使依赖谷歌查找登录URL的用户点击。恶意链接将用户引导至与真实登录页面完全相同的伪造页面,输入的任何凭据都会被发送至攻击者控制的Telegram频道。与常规钓鱼页面不同,该活动采用实时AiTM机制,攻击者使用窃取的凭证实时登录平台,随后受害者会看到虚假的双因素身份验证提示,威胁行为者借此获取对ManageWP账户的完整访问权限。
https://www.bleepingcomputer.com/news/security/hackers-abuse-google-ads-for-godaddy-managewp-login-phishing/
5. 亚马逊SES遭滥用,钓鱼邮件绕过安全过滤
5月4日,据卡巴斯基报告,亚马逊简单电子邮件服务正日益被滥用于发送具有欺骗性的网络钓鱼电子邮件,这些邮件能够绕过标准安全过滤器并使基于信誉的阻止机制失效。由于亚马逊SES是一个合法且可信的服务,网络钓鱼活动可以利用它发送能够通过身份验证检查的恶意电子邮件。卡巴斯基研究人员观察到利用亚马逊SES进行的网络钓鱼攻击有所增加,这些攻击将用户重定向至恶意网站。研究人员认为,这种滥用的主要驱动因素是GitHub存储库、.ENV文件、Docker镜像、备份和可公开访问的S3存储桶中AWS凭证的暴露程度越来越高。攻击者通常使用基于开源TruffleHog工具构建的机器人,通过自动化方式扫描泄露的密钥。现在,威胁行为者依靠自动化攻击简化秘密扫描、权限验证和电子邮件分发,实现了前所未有的滥用程度。在验证密钥权限和发送限制后,攻击者即可大规模散布网络钓鱼信息。
https://www.bleepingcomputer.com/news/security/researchers-report-amazon-ses-abused-in-phishing-to-evade-detection/
6. MuddyWater伪装Chaos勒索软件实施间谍活动
5月6日,伊朗国家支持的黑客组织MuddyWater近期将其攻击行动伪装成Chaos勒索软件攻击。尽管此次攻击涉及凭证窃取、持久化、远程访问、数据泄露、勒索邮件以及在Chaos泄密门户网站上的条目,但攻击者使用的基础设施和技术与MuddyWater密切相关。Rapid7调查的入侵事件始于Microsoft Teams社交工程,攻击者通过与员工聊天、建立屏幕共享会话、窃取凭据、操纵多因素身份验证设置,并在某些情况下部署AnyDesk进行远程访问。凭证窃取通过伪装成Microsoft Quick Assist的网络钓鱼页面或诱骗受害者将密码输入本地文本文件实现。攻破账户后,攻击者通过RDP、DWAgent和AnyDesk等手段对内部系统进行身份验证并建立持久性。随后,他们利用恶意软件加载程序投放自定义后门程序,该程序伪装成Microsoft WebView2应用程序,具备反分析和反虚拟机检查功能,支持PowerShell和CMD命令执行、文件上传和删除以及持久shell访问等12个命令。
https://www.bleepingcomputer.com/news/security/muddywater-hackers-use-chaos-ransomware-as-a-decoy-in-attacks/
京公网安备11010802024551号