GitHub шкоднаснае ПА, якое дзівіць праекты ў інтэграваным асяроддзі распрацоўкі NetBeans і выкарыстоўвалае працэс зборкі для свайго распаўсюджвання. Расследаванне паказала, што пры дапамозе разгляданага шкоднаснага ПА, якому прысвоена імя Octopus Scanner, былі ўтоена інтэграваныя бэкдоры ў 26 адчыненых праектаў, мелых рэпазітары на GitHub. Першыя сляды праявы Octopus Scanner датаваны жніўнем 2018 года.
Шкоднаснае ПА здольна выяўляць файлы з праектамі NetBeans і дадаваць свой код у файлы праекту і збіраныя JAR-файлы. Алгарытм працы зводзіцца да знаходжанні каталога NetBeans з праектамі карыстача, перабору ўсіх праектаў у дадзеным каталогу, капіяванню шкоднаснага сцэнара ў і занясенню змен у файл для выкліку гэтага сцэнара пры кожнай зборцы праекту. Пры зборцы копія шкоднаснага ПЗ уключаецца ў выніковыя файлы JAR, якія становяцца крыніцай наступнага распаўсюджвання. Напрыклад, шкоднасныя файлы былі размешчаны ў рэпазітарах вышэйзгаданых 26 адкрытых праектаў, а таксама рознымі іншымі праектамі пры публікацыі зборак новых рэлізаў.
Пры загрузцы і запуску здзіўленага JAR-файла іншым карыстальнікам, на яго сістэме пачынаўся чарговы цыкл пошуку NetBeans і ўкаранення шкоднаснага кода, што адпавядае мадэлі працы самараспаўсюджвальных кампутарных вірусаў. Акрамя функцыянальнасці для самараспаўсюджвання, шкоднасны код таксама ўключае функцыі бэкдора для прадастаўлення выдаленага доступу да сістэмы. На момант разбору інцыдэнту кіраўнікі бэкдорам серверы (C&C) не былі актыўныя.
Усяго пры вывучэнні здзіўленых праектаў было выяўлена 4 варыянты інфікавання. У адным з варыянтаў для актывацыі бэкдора ў Linux ствараўся файл аўтазапуску "$HOME/.config/autostart/octo.desktop", а ў Windows для запуску ўжываўся запуск заданняў праз schtasks. Сярод іншых файлаў:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Бэкдор мог выкарыстоўвацца для дадання закладак у які развіваецца распрацоўнікам код, арганізацыі ўцечкі кода прапрыетарных сістэм, крадзяжы канфідэнцыйных дадзеных і захопу ўліковых запісаў. Даследнікі з GitHub не выключаюць, што шкоднасная дзейнасць не абмяжоўваецца NetBeans і могуць існаваць іншыя варыянты Octopus Scanner, якія ўкараняюцца для свайго распаўсюджвання ў працэс зборкі на базе Make, MsBuild, Gradle і іншых сістэм.
Назвы здзіўленых праектаў не згадваецца, але іх лёгка можна праз пошук у GitHub па масцы "cache.dat". Сярод праектаў, у якіх знойдзены сляды шкоднаснай актыўнасці: , , , , , , , , , , , , .
Крыніца: opennet.ru