Новый Linux-имплант угрожает всей цепочке разработки ПО

Новый Linux-имплант Quasar Linux угрожает не только отдельным рабочим станциям, но и всей цепочке разработки ПО. Эксперт «Группы Астра» рассказал, как должна строиться защита от таких атак.

Вредоносный набор нацелен на среды, где создают, собирают и публикуют код, поэтому украденные доступы могут быстро превратиться в атаку на пользователей популярных репозиториев и облачных сервисов.

Эксперты Trend Micro исследовали ранее не описанный имплант Quasar Linux, также известный как QLNX. Вредоносная программа сочетает функции руткита, бэкдора и инструмента для кражи учётных данных. По данным компании, QLNX разворачивают в средах разработки и DevOps, связанных с npm, PyPI, GitHub, AWS, Docker и Kubernetes, подробнее пишет Securitylab.

Ситуацию прокомментировал эксперт первой российской платформы для работы с кодом, руководитель продукта GitFlic (входит в «Группу Астра») Кирилл Довгаль.

«История с Quasar Linux показывает, что атаки на цепочку поставки ПО всё чаще начинаются не с эксплуатации уязвимости в самом приложении, а с компрометации рабочего места разработчика или DevOps-инженера. Очевидно, что защита должна строиться не вокруг одного антивируса или одного сканера, а вокруг всего контура разработки. Например, наша платформа GitFlic помогает снизить такие риски за счёт управляемого процесса внесения изменений: запросов на слияние, обязательных одобрений, проверки статуса CI/CD-конвейера перед merge, отчётов безопасности и контроля доступа к веткам. Это позволяет не пропускать изменения в целевые ветки без ревью и автоматизированных проверок.

Отдельное важное направление — анализ кода и зависимостей. Для минимизации ИБ-инцидентов в разработке в российских Devops-платформах должны применяться практики РБПО, которые включают в себя необходимый набор суверенных инструментов/анализаторов и антивирусное сканирование», — уверен эксперт Кирилл Довгаль.