GitHub Malware, který útočí na projekty v NetBeans IDE a využívá proces sestavení ke svému šíření. Vyšetřování ukázalo, že pomocí dotyčného malwaru, který dostal název Octopus Scanner, byla zadní vrátka skrytě integrována do 26 otevřených projektů s repozitáři na GitHubu. První stopy manifestace Octopus Scanner pocházejí ze srpna 2018.
Malware je schopen identifikovat soubory projektu NetBeans a přidat svůj kód do souborů projektu a zkompilovaných souborů JAR. Pracovní algoritmus se scvrkává na nalezení adresáře NetBeans s projekty uživatele, výčet všech projektů v tomto adresáři a zkopírování škodlivého skriptu do a provádění změn v souboru volat tento skript pokaždé, když je projekt sestaven. Po sestavení je kopie malwaru zahrnuta do výsledných souborů JAR, které se stávají zdrojem další distribuce. Škodlivé soubory byly například umístěny do úložišť výše zmíněných 26 open source projektů a také různých dalších projektů při publikování sestavení nových verzí.
Když infikovaný JAR soubor stáhl a spustil jiný uživatel, začal v jeho systému další cyklus hledání NetBeans a zavádění škodlivého kódu, který odpovídá operačnímu modelu samo se šířících počítačových virů. Kromě funkce vlastního šíření obsahuje škodlivý kód také funkci zadních vrátek umožňující vzdálený přístup do systému. V době incidentu nebyly servery řízení zadních vrátek (C&C) aktivní.
Celkem byly při studiu dotčených projektů identifikovány 4 varianty infekce. V jedné z možností, jak aktivovat zadní vrátka v Linuxu, byl vytvořen autostart soubor “$HOME/.config/autostart/octo.desktop” a ve Windows byly spuštěny úlohy přes schtasks k jeho spuštění. Mezi další vytvořené soubory patří:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Zadní vrátka lze použít k přidávání záložek do kódu vyvinutého vývojářem, úniku kódu proprietárních systémů, krádeži důvěrných dat a převzetí účtů. Výzkumníci z GitHubu nevylučují, že škodlivá aktivita není omezena na NetBeans a že mohou existovat další varianty Octopus Scanner, které jsou zabudovány do procesu sestavování založeného na Make, MsBuild, Gradle a dalších systémech, aby se samy rozšířily.
Jména dotčených projektů nejsou uvedena, ale klidně mohou být prostřednictvím vyhledávání na GitHubu pomocí masky „cache.dat“. Mezi projekty, ve kterých byly nalezeny stopy škodlivé činnosti: , , , , , , , , , , , , .
Zdroj: opennet.ru