GitHub Wanware wat projekte in die NetBeans IDE aanval en die bouproses gebruik om homself te versprei. Die ondersoek het getoon dat die gebruik van die betrokke wanware, wat die naam Octopus Scanner gekry het, agterdeure heimlik geïntegreer is in 26 oop projekte met bewaarplekke op GitHub. Die eerste spore van die Octopus Scanner manifestasie dateer terug na Augustus 2018.
Die wanware is in staat om NetBeans-projeklêers te identifiseer en sy kode by die projeklêers en saamgestelde JAR-lêers te voeg. Die werkalgoritme kom daarop neer om die NetBeans-gids met die gebruiker se projekte te vind, alle projekte in hierdie gids op te noem, die kwaadwillige skrif te kopieer na en maak veranderinge aan die lêer om hierdie skrif te noem elke keer as die projek gebou word. Wanneer dit saamgestel is, word 'n kopie van die wanware ingesluit in die gevolglike JAR-lêers, wat 'n bron van verdere verspreiding word. Byvoorbeeld, kwaadwillige lêers is na die bewaarplekke van die bogenoemde 26 oopbronprojekte geplaas, sowel as verskeie ander projekte tydens die publisering van weergawes van nuwe vrystellings.
Toe die besmette JAR-lêer afgelaai en deur 'n ander gebruiker geloods is, het 'n ander siklus van soek na NetBeans en die bekendstelling van kwaadwillige kode op sy stelsel begin, wat ooreenstem met die bedryfsmodel van selfvoortplantende rekenaarvirusse. Benewens selfvoortplantingsfunksionaliteit, sluit die kwaadwillige kode ook agterdeur-funksionaliteit in om afstandtoegang tot die stelsel te verskaf. Ten tyde van die voorval was die agterdeurbeheer (C&C)-bedieners nie aktief nie.
In totaal, tydens die bestudering van die geaffekteerde projekte, is 4 variante van infeksie geïdentifiseer. In een van die opsies, om die agterdeur in Linux te aktiveer, is 'n outostart-lêer “$HOME/.config/autostart/octo.desktop” geskep, en in Windows is take via schtasks geloods om dit te begin. Ander lêers wat geskep is, sluit in:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HUIS/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Die agterdeur kan gebruik word om boekmerke by die kode wat deur die ontwikkelaar ontwikkel is, te voeg, kode van eie stelsels uit te lek, vertroulike data te steel en rekeninge oor te neem. Navorsers van GitHub sluit nie uit dat kwaadwillige aktiwiteit nie beperk is tot NetBeans nie en daar kan ander variante van Octopus Scanner wees wat ingebed is in die bouproses gebaseer op Make, MsBuild, Gradle en ander stelsels om hulself te versprei.
Die name van die geaffekteerde projekte word nie genoem nie, maar dit kan maklik wees deur 'n soektog in GitHub met behulp van die "cache.dat"-masker. Onder die projekte waarin spore van kwaadwillige aktiwiteite gevind is: , , , , , , , , , , , , .
Bron: opennet.ru