GitHub
Malware je schopen identifikovat soubory projektu NetBeans a přidat svůj kód do souborů projektu a zkompilovaných souborů JAR. Pracovní algoritmus se scvrkává na nalezení adresáře NetBeans s projekty uživatele, výčet všech projektů v tomto adresáři a zkopírování škodlivého skriptu do
Když infikovaný JAR soubor stáhl a spustil jiný uživatel, začal v jeho systému další cyklus hledání NetBeans a zavádění škodlivého kódu, který odpovídá operačnímu modelu samo se šířících počítačových virů. Kromě funkce vlastního šíření obsahuje škodlivý kód také funkci zadních vrátek umožňující vzdálený přístup do systému. V době incidentu nebyly servery řízení zadních vrátek (C&C) aktivní.
Celkem byly při studiu dotčených projektů identifikovány 4 varianty infekce. V jedné z možností, jak aktivovat zadní vrátka v Linuxu, byl vytvořen autostart soubor “$HOME/.config/autostart/octo.desktop” a ve Windows byly spuštěny úlohy přes schtasks k jeho spuštění. Mezi další vytvořené soubory patří:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Zadní vrátka lze použít k přidávání záložek do kódu vyvinutého vývojářem, úniku kódu proprietárních systémů, krádeži důvěrných dat a převzetí účtů. Výzkumníci z GitHubu nevylučují, že škodlivá aktivita není omezena na NetBeans a že mohou existovat další varianty Octopus Scanner, které jsou zabudovány do procesu sestavování založeného na Make, MsBuild, Gradle a dalších systémech, aby se samy rozšířily.
Jména dotčených projektů nejsou uvedena, ale klidně mohou být
Zdroj: opennet.ru