GitHub Ang malware nga nag-atake sa mga proyekto sa NetBeans IDE ug naggamit sa proseso sa pagtukod aron ipakaylap ang kaugalingon. Gipakita sa imbestigasyon nga gamit ang malware nga gipangutana, nga gihatagan sa ngalan nga Octopus Scanner, ang mga backdoor tago nga gisagol sa 26 nga bukas nga mga proyekto nga adunay mga repositoryo sa GitHub. Ang unang mga pagsubay sa pagpakita sa Octopus Scanner petsa balik sa Agosto 2018.
Ang malware makahimo sa pag-ila sa mga file sa proyekto sa NetBeans ug idugang ang code niini sa mga file sa proyekto ug gihugpong ang mga JAR file. Ang algorithm sa pagtrabaho nagsugod sa pagpangita sa direktoryo sa NetBeans nga adunay mga proyekto sa tiggamit, nga naglista sa tanan nga mga proyekto sa kini nga direktoryo, pagkopya sa malisyoso nga script sa ug paghimo sa mga pagbag-o sa file sa pagtawag niini nga script sa matag higayon nga ang proyekto gitukod. Kung gi-assemble, usa ka kopya sa malware ang gilakip sa mga sangputanan nga JAR file, nga mahimong gigikanan sa dugang nga pag-apod-apod. Pananglitan, ang mga malisyoso nga mga file gi-post sa mga repository sa nahisgutan sa ibabaw nga 26 ka open source nga mga proyekto, ingon man usab sa lain-laing mga proyekto sa diha nga ang pagmantala sa pagtukod sa mga bag-ong pagpagawas.
Sa diha nga ang nataptan nga JAR file gi-download ug gilunsad sa laing user, laing siklo sa pagpangita sa NetBeans ug pagpaila sa malisyosong code nagsugod sa iyang sistema, nga katumbas sa operating model sa mga virus sa kompyuter nga nagpakaylap sa kaugalingon. Dugang sa pagpaandar sa kaugalingon nga pagpakaylap, ang malisyoso nga code naglakip usab sa backdoor functionality aron mahatagan ang layo nga pag-access sa sistema. Sa panahon sa insidente, ang backdoor control (C&C) server dili aktibo.
Sa kinatibuk-an, kung gitun-an ang mga apektadong proyekto, 4 nga mga variant sa impeksyon ang nahibal-an. Sa usa sa mga opsyon, aron ma-activate ang backdoor sa Linux, usa ka autostart file nga "$HOME/.config/autostart/octo.desktop" ang gimugna, ug sa Windows, ang mga buluhaton gilunsad pinaagi sa schtasks aron ilunsad kini. Ang ubang mga file nga gihimo naglakip sa:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Ang backdoor mahimong magamit aron makadugang sa mga bookmark sa code nga gihimo sa developer, pag-leak code sa mga proprietary system, pagpangawat sa kompidensyal nga datos ug pagkuha sa mga account. Ang mga tigdukiduki gikan sa GitHub wala magsalikway nga ang malisyoso nga kalihokan dili limitado sa NetBeans ug mahimo nga adunay uban pang mga variant sa Octopus Scanner nga gilakip sa proseso sa pagtukod base sa Make, MsBuild, Gradle ug uban pang mga sistema aron ipakaylap ang ilang kaugalingon.
Ang mga ngalan sa naapektuhan nga mga proyekto wala hisgoti, apan kini dali ra pinaagi sa pagpangita sa GitHub gamit ang βcache.datβ mask. Lakip sa mga proyekto diin nakit-an ang mga timailhan sa makadaot nga kalihokan: , , , , , , , , , , , , .
Source: opennet.ru