Malware Siluman Baru ‘Quasar Linux’ Incar Pengembang Perangkat Lunak

Sebuah implan Linux berbahaya yang belum pernah didokumentasikan sebelumnya bernama Quasar Linux (QLNX) dilaporkan tengah menargetkan sistem para pengembang perangkat lunak (software developer). Malware ini hadir dengan kombinasi kemampuan rootkit, backdoor (pintu belakang), dan pencurian kredensial yang mematikan.

Kit malware ini secara spesifik disebarkan di lingkungan pengembangan dan operasi TI (DevOps) yang mencakup ekosistem npm, PyPI, GitHub, AWS, Docker, dan Kubernetes. Penargetan ini sangat berbahaya karena dapat membuka jalan bagi serangan rantai pasokan (supply-chain attack) di mana aktor ancaman dapat menerbitkan paket berbahaya secara langsung pada platform distribusi kode.

Dirancang Khusus untuk Siluman dan Persistensi

Para peneliti di perusahaan keamanan siber Trend Micro telah menganalisis implan QLNX dan menemukan fakta mengejutkan. “Ia (malware) secara dinamis mengkompilasi objek bersama rootkit dan modul backdoor PAM pada host target menggunakan gcc [GNU Compiler Collection],” jelas peneliti.

Laporan dari perusahaan tersebut minggu ini mencatat bahwa QLNX dirancang secara khusus untuk beroperasi secara siluman (stealth) dan memiliki persistensi jangka panjang. Malware ini berjalan sepenuhnya di dalam memori RAM (fileless), menghapus biner aslinya dari penyimpanan disk, menyapu bersih log sistem, memalsukan nama proses, dan membersihkan variabel lingkungan untuk mengecoh alat forensik digital.

Untuk memastikan keberadaannya tak tergoyahkan, QLNX menggunakan tujuh mekanisme persistensi berbeda, termasuk LD_PRELOAD, systemd, crontab, skrip init.d, XDG autostart, dan injeksi .bashrc. Mekanisme ini memastikan malware selalu dimuat ke dalam setiap proses yang ditautkan secara dinamis dan akan otomatis muncul kembali (respawn) jika dipaksa mati.

Fitur Lengkap sebagai Alat Serangan

QLNX menampilkan beberapa blok fungsional yang didedikasikan untuk aktivitas spesifik, menjadikannya alat peretasan yang sangat komprehensif. Komponen intinya meliputi:

• Inti RAT (Remote Access Trojan): Komponen kontrol pusat yang dibangun di sekitar kerangka kerja 58-perintah. Komponen ini menyediakan akses shell interaktif, manajemen file dan proses, hingga operasi jaringan, sembari mempertahankan komunikasi dengan server C2 melalui saluran TCP/TLS atau HTTP/S kustom.
• Rootkit: Mekanisme siluman lapis ganda yang menggabungkan rootkit LD_PRELOAD di ruang pengguna (userland) dan komponen eBPF di tingkat kernel. Ini berfungsi untuk menyembunyikan file, proses, dan jejak malware dari pantauan sistem administrator.
• Lapisan Akses Kredensial: Menggabungkan pemanenan kredensial (seperti kunci SSH, peramban, konfigurasi cloud dan pengembang, /etc/shadow, clipboard) dengan backdoor berbasis PAM yang dapat mencegat dan mencatat data autentikasi dalam bentuk teks terang (plaintext).
• Modul Pengawasan: Menyediakan kemampuan perekaman ketukan keyboard (keylogging), pengambilan tangkapan layar, dan pemantauan clipboard.
• Jaringan dan Pergerakan Lateral: Memungkinkan pembuatan terowongan (tunneling) TCP, proksi SOCKS, pemindaian port, pergerakan lateral berbasis SSH, dan jaringan mesh peer-to-peer.
• Mesin Eksekusi dan Injeksi: Melakukan injeksi proses (ptrace, /proc/pid/mem) dan eksekusi payload berbahaya langsung di dalam memori.
• Pemantauan Sistem File: Melacak aktivitas file secara real-time melalui inotify.

Potensi Bahaya Rantai Pasokan

Setelah mendapatkan akses awal, QLNX membangun pijakan tanpa file, menyebarkan mekanisme persistensinya, lalu mulai memanen kredensial cloud dan alat pengembang.

Dengan menargetkan stasiun kerja pengembang secara langsung, peretas dapat melewati perlindungan keamanan tingkat perusahaan dan mengakses kredensial vital yang menopang jalur distribusi perangkat lunak (software delivery pipelines). Pendekatan ini sangat mencerminkan insiden serangan rantai pasokan baru-baru ini, di mana kredensial pengembang yang dicuri digunakan untuk menyisipkan trojan ke dalam paket repositori publik.

Hingga saat ini, Trend Micro belum merilis detail spesifik mengenai kelompok peretas di balik serangan ini, sehingga volume penyebaran QLNX masih belum diketahui pasti. Yang paling mengkhawatirkan, pada saat publikasi ini dibuat, implan Quasar Linux dilaporkan baru dapat dideteksi oleh empat solusi keamanan di pasaran.