GitHub جيثب:
البرنامج الضار قادر على تحديد ملفات مشروع NetBeans وإضافة التعليمات البرمجية الخاصة به إلى ملفات المشروع وملفات JAR المجمعة. تتلخص خوارزمية العمل في العثور على دليل NetBeans الذي يحتوي على مشاريع المستخدم، وتعداد جميع المشاريع في هذا الدليل، ونسخ البرنامج النصي الضار إلى
عندما قام مستخدم آخر بتنزيل ملف JAR المصاب وتشغيله، بدأت دورة أخرى من البحث عن NetBeans وإدخال تعليمات برمجية ضارة على نظامه، وهو ما يتوافق مع نموذج تشغيل فيروسات الكمبيوتر ذاتية الانتشار. بالإضافة إلى وظيفة النشر الذاتي، تتضمن التعليمات البرمجية الضارة أيضًا وظيفة الباب الخلفي لتوفير الوصول عن بعد إلى النظام. في وقت وقوع الحادث، لم تكن خوادم التحكم في الباب الخلفي (C&C) نشطة.
في المجموع، عند دراسة المشاريع المتضررة، تم تحديد 4 أنواع مختلفة من العدوى. في أحد الخيارات، لتنشيط الباب الخلفي في Linux، تم إنشاء ملف التشغيل التلقائي “$HOME/.config/autostart/octo.desktop”، وفي Windows، تم إطلاق المهام عبر schtasks لتشغيله. تتضمن الملفات الأخرى التي تم إنشاؤها ما يلي:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $الصفحة الرئيسية/المكتبة/LaunchAgents/Main.class
يمكن استخدام الباب الخلفي لإضافة إشارات مرجعية إلى الكود الذي طوره المطور، وتسريب كود الأنظمة الاحتكارية، وسرقة البيانات السرية والاستيلاء على الحسابات. لا يستبعد الباحثون من GitHub أن النشاط الضار لا يقتصر على NetBeans وقد تكون هناك أنواع أخرى من Octopus Scanner مضمنة في عملية الإنشاء بناءً على أنظمة Make وMsBuild وGradle وغيرها لنشر نفسها.
لم يتم ذكر أسماء المشاريع المتضررة، لكن يمكن ذكرها بسهولة
المصدر: opennet.ru