GitHub
Die wanware is in staat om NetBeans-projeklêers te identifiseer en sy kode by die projeklêers en saamgestelde JAR-lêers te voeg. Die werkalgoritme kom daarop neer om die NetBeans-gids met die gebruiker se projekte te vind, alle projekte in hierdie gids op te noem, die kwaadwillige skrif te kopieer na
Toe die besmette JAR-lêer afgelaai en deur 'n ander gebruiker geloods is, het 'n ander siklus van soek na NetBeans en die bekendstelling van kwaadwillige kode op sy stelsel begin, wat ooreenstem met die bedryfsmodel van selfvoortplantende rekenaarvirusse. Benewens selfvoortplantingsfunksionaliteit, sluit die kwaadwillige kode ook agterdeur-funksionaliteit in om afstandtoegang tot die stelsel te verskaf. Ten tyde van die voorval was die agterdeurbeheer (C&C)-bedieners nie aktief nie.
In totaal, tydens die bestudering van die geaffekteerde projekte, is 4 variante van infeksie geïdentifiseer. In een van die opsies, om die agterdeur in Linux te aktiveer, is 'n outostart-lêer “$HOME/.config/autostart/octo.desktop” geskep, en in Windows is take via schtasks geloods om dit te begin. Ander lêers wat geskep is, sluit in:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HUIS/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Die agterdeur kan gebruik word om boekmerke by die kode wat deur die ontwikkelaar ontwikkel is, te voeg, kode van eie stelsels uit te lek, vertroulike data te steel en rekeninge oor te neem. Navorsers van GitHub sluit nie uit dat kwaadwillige aktiwiteit nie beperk is tot NetBeans nie en daar kan ander variante van Octopus Scanner wees wat ingebed is in die bouproses gebaseer op Make, MsBuild, Gradle en ander stelsels om hulself te versprei.
Die name van die geaffekteerde projekte word nie genoem nie, maar dit kan maklik wees
Bron: opennet.ru