GitHub Zlonamjerni softver koji napada projekte u NetBeans IDE-u i koristi proces izgradnje da se širi. Istraga je pokazala da su korištenjem predmetnog zlonamjernog softvera, koji je dobio ime Octopus Scanner, prikriveno integrirana backdoors u 26 otvorenih projekata sa spremištima na GitHubu. Prvi tragovi manifestacije Octopus Scanner datiraju iz avgusta 2018. godine.
Zlonamjerni softver može identificirati NetBeans projektne datoteke i dodati svoj kod projektnim datotekama i kompajliranim JAR datotekama. Algoritam rada se svodi na pronalaženje NetBeans direktorija s projektima korisnika, nabrajanje svih projekata u ovom direktoriju, kopiranje zlonamjerne skripte u i unošenje izmjena u fajl da pozovete ovu skriptu svaki put kada se projekat izgradi. Kada se sklopi, kopija zlonamjernog softvera je uključena u rezultirajuće JAR datoteke, koje postaju izvor dalje distribucije. Na primjer, zlonamjerni fajlovi su objavljeni u repozitorijuma gore navedenih 26 open source projekata, kao i raznih drugih projekata prilikom objavljivanja buildova novih izdanja.
Kada je zaraženu JAR datoteku preuzeo i pokrenuo drugi korisnik, započeo je još jedan ciklus traženja NetBeans-a i uvođenja zlonamjernog koda na njegov sistem, što odgovara operativnom modelu kompjuterskih virusa koji se sami šire. Pored funkcionalnosti samopropagiranja, zlonamjerni kod uključuje i backdoor funkcionalnost za pružanje daljinskog pristupa sistemu. U vrijeme incidenta, backdoor kontrolni (C&C) serveri nisu bili aktivni.
Ukupno, prilikom proučavanja pogođenih projekata, identificirane su 4 varijante infekcije. U jednoj od opcija, za aktiviranje backdoor-a u Linuxu, kreiran je autostart fajl “$HOME/.config/autostart/octo.desktop”, au Windows-u su se pokretali zadaci preko schtasksa za njegovo pokretanje. Ostali kreirani fajlovi uključuju:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Backdoor bi se mogao koristiti za dodavanje oznaka kodu koji je razvio programer, curenje koda vlasničkih sistema, krađu povjerljivih podataka i preuzimanje naloga. Istraživači sa GitHub-a ne isključuju da zlonamjerna aktivnost nije ograničena na NetBeans i da mogu postojati druge varijante Octopus Scanner-a koje su ugrađene u proces izgradnje baziran na Make, MsBuild, Gradle i drugim sistemima da se šire.
Imena pogođenih projekata se ne spominju, ali se lako mogu kroz pretragu u GitHubu koristeći masku “cache.dat”. Među projektima u kojima su pronađeni tragovi zlonamjerne aktivnosti: , , , , , , , , , , , , .
izvor: opennet.ru