GitHub
Malwaren er i stand til at identificere NetBeans-projektfiler og tilføje dens kode til projektfilerne og kompilerede JAR-filer. Arbejdsalgoritmen går ud på at finde NetBeans-biblioteket med brugerens projekter, opregne alle projekter i denne mappe, kopiere det ondsindede script til
Da den inficerede JAR-fil blev downloadet og lanceret af en anden bruger, begyndte endnu en cyklus med søgning efter NetBeans og indførelse af ondsindet kode på hans system, som svarer til driftsmodellen for selvudbredende computervirus. Ud over selvudbredelsesfunktionalitet inkluderer den ondsindede kode også bagdørsfunktionalitet for at give fjernadgang til systemet. På tidspunktet for hændelsen var bagdørskontrolserverne (C&C) ikke aktive.
I alt, når man studerede de berørte projekter, blev 4 varianter af infektion identificeret. I en af mulighederne, for at aktivere bagdøren i Linux, blev der oprettet en autostart-fil "$HOME/.config/autostart/octo.desktop", og i Windows blev opgaver startet via schtasks for at starte den. Andre oprettede filer omfatter:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Bagdøren kunne bruges til at tilføje bogmærker til koden udviklet af udvikleren, lække kode for proprietære systemer, stjæle fortrolige data og overtage konti. Forskere fra GitHub udelukker ikke, at ondsindet aktivitet ikke er begrænset til NetBeans, og der kan være andre varianter af Octopus Scanner, der er indlejret i byggeprocessen baseret på Make, MsBuild, Gradle og andre systemer til at sprede sig selv.
Navnene på de berørte projekter er ikke nævnt, men det kan de sagtens være
Kilde: opennet.ru