ProHoster > بلوق > أخبار الإنترنت > البرامج الضارة التي تهاجم NetBeans لإدخال أبواب خلفية في المشاريع المبنية

البرامج الضارة التي تهاجم NetBeans لإدخال أبواب خلفية في المشاريع المبنية

GitHub جيثب: المحددة البرامج الضارة التي تهاجم المشاريع في NetBeans IDE وتستخدم عملية الإنشاء لنشر نفسها. أظهر التحقيق أنه باستخدام البرمجيات الخبيثة المعنية، والتي أُطلق عليها اسم Octopus Scanner، تم دمج الأبواب الخلفية سرًا في 26 مشروعًا مفتوحًا مع مستودعات على GitHub. تعود الآثار الأولى لظاهرة Octopus Scanner إلى أغسطس 2018.

البرنامج الضار قادر على تحديد ملفات مشروع NetBeans وإضافة التعليمات البرمجية الخاصة به إلى ملفات المشروع وملفات JAR المجمعة. تتلخص خوارزمية العمل في العثور على دليل NetBeans الذي يحتوي على مشاريع المستخدم، وتعداد جميع المشاريع في هذا الدليل، ونسخ البرنامج النصي الضار إلى nbproject/cache.dat وإجراء تغييرات على الملف nbproject/build-impl.xml لاستدعاء هذا البرنامج النصي في كل مرة يتم فيها إنشاء المشروع. عند تجميعها، يتم تضمين نسخة من البرامج الضارة في ملفات JAR الناتجة، والتي تصبح مصدرًا لمزيد من التوزيع. على سبيل المثال، تم نشر ملفات ضارة في مستودعات المشاريع مفتوحة المصدر البالغ عددها 26 مشروعًا المذكورة أعلاه، بالإضافة إلى العديد من المشاريع الأخرى عند نشر إصدارات جديدة.

عندما قام مستخدم آخر بتنزيل ملف JAR المصاب وتشغيله، بدأت دورة أخرى من البحث عن NetBeans وإدخال تعليمات برمجية ضارة على نظامه، وهو ما يتوافق مع نموذج تشغيل فيروسات الكمبيوتر ذاتية الانتشار. بالإضافة إلى وظيفة النشر الذاتي، تتضمن التعليمات البرمجية الضارة أيضًا وظيفة الباب الخلفي لتوفير الوصول عن بعد إلى النظام. في وقت وقوع الحادث، لم تكن خوادم التحكم في الباب الخلفي (C&C) نشطة.

البرامج الضارة التي تهاجم NetBeans لإدخال أبواب خلفية في المشاريع المبنية

في المجموع، عند دراسة المشاريع المتضررة، تم تحديد 4 أنواع مختلفة من العدوى. في أحد الخيارات، لتنشيط الباب الخلفي في Linux، تم إنشاء ملف التشغيل التلقائي “$HOME/.config/autostart/octo.desktop”، وفي Windows، تم إطلاق المهام عبر schtasks لتشغيله. تتضمن الملفات الأخرى التي تم إنشاؤها ما يلي:

  • $HOME/.local/share/bbauto
  • $HOME/.config/autostart/none.desktop
  • $HOME/.config/autostart/.desktop
  • $HOME/.local/share/Main.class
  • $HOME/Library/LaunchAgents/AutoUpdater.dat
  • $HOME/Library/LaunchAgents/AutoUpdater.plist
  • $HOME/Library/LaunchAgents/SoftwareSync.plist
  • $الصفحة الرئيسية/المكتبة/LaunchAgents/Main.class

يمكن استخدام الباب الخلفي لإضافة إشارات مرجعية إلى الكود الذي طوره المطور، وتسريب كود الأنظمة الاحتكارية، وسرقة البيانات السرية والاستيلاء على الحسابات. لا يستبعد الباحثون من GitHub أن النشاط الضار لا يقتصر على NetBeans وقد تكون هناك أنواع أخرى من Octopus Scanner مضمنة في عملية الإنشاء بناءً على أنظمة Make وMsBuild وGradle وغيرها لنشر نفسها.

لم يتم ذكر أسماء المشاريع المتضررة، لكن يمكن ذكرها بسهولة اكتشاف من خلال البحث في GitHub باستخدام قناع "cache.dat". ومن المشاريع التي تم العثور فيها على آثار للنشاط الخبيث: V2Mp3Player, JavaPacman, إطار كوسيم, بونتو دي فينتا, 2D-فيزياء-المحاكاة, لعبة بكمن, GuessTheAnimal, SnakeCenterBox4, Secuencia Numerica, مركز الاتصال, ProyectoGerundio, بكمن-Java_ia, سوبرماريو-FR-.

المصدر: opennet.ru

إضافة تعليق