GitHub
Zlonamjerni softver može identificirati NetBeans projektne datoteke i dodati svoj kod projektnim datotekama i kompajliranim JAR datotekama. Algoritam rada se svodi na pronalaženje NetBeans direktorija s projektima korisnika, nabrajanje svih projekata u ovom direktoriju, kopiranje zlonamjerne skripte u
Kada je zaraženu JAR datoteku preuzeo i pokrenuo drugi korisnik, započeo je još jedan ciklus traženja NetBeans-a i uvođenja zlonamjernog koda na njegov sistem, što odgovara operativnom modelu kompjuterskih virusa koji se sami šire. Pored funkcionalnosti samopropagiranja, zlonamjerni kod uključuje i backdoor funkcionalnost za pružanje daljinskog pristupa sistemu. U vrijeme incidenta, backdoor kontrolni (C&C) serveri nisu bili aktivni.
Ukupno, prilikom proučavanja pogođenih projekata, identificirane su 4 varijante infekcije. U jednoj od opcija, za aktiviranje backdoor-a u Linuxu, kreiran je autostart fajl “$HOME/.config/autostart/octo.desktop”, au Windows-u su se pokretali zadaci preko schtasksa za njegovo pokretanje. Ostali kreirani fajlovi uključuju:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Backdoor bi se mogao koristiti za dodavanje oznaka kodu koji je razvio programer, curenje koda vlasničkih sistema, krađu povjerljivih podataka i preuzimanje naloga. Istraživači sa GitHub-a ne isključuju da zlonamjerna aktivnost nije ograničena na NetBeans i da mogu postojati druge varijante Octopus Scanner-a koje su ugrađene u proces izgradnje baziran na Make, MsBuild, Gradle i drugim sistemima da se šire.
Imena pogođenih projekata se ne spominju, ali se lako mogu
izvor: opennet.ru