GitHub Malware, der angriber projekter i NetBeans IDE og bruger byggeprocessen til at sprede sig selv. Undersøgelsen viste, at ved hjælp af den pågældende malware, som fik navnet Octopus Scanner, blev bagdøre skjult integreret i 26 åbne projekter med repositories på GitHub. De første spor af Octopus Scanner-manifestationen går tilbage til august 2018.
Malwaren er i stand til at identificere NetBeans-projektfiler og tilføje dens kode til projektfilerne og kompilerede JAR-filer. Arbejdsalgoritmen går ud på at finde NetBeans-biblioteket med brugerens projekter, opregne alle projekter i denne mappe, kopiere det ondsindede script til og foretage ændringer i filen at kalde dette script hver gang projektet bygges. Når den er samlet, er en kopi af malware inkluderet i de resulterende JAR-filer, som bliver en kilde til yderligere distribution. For eksempel blev ondsindede filer sendt til lagrene for de ovennævnte 26 open source-projekter, såvel som forskellige andre projekter, når der blev udgivet builds af nye udgivelser.
Da den inficerede JAR-fil blev downloadet og lanceret af en anden bruger, begyndte endnu en cyklus med søgning efter NetBeans og indførelse af ondsindet kode på hans system, som svarer til driftsmodellen for selvudbredende computervirus. Ud over selvudbredelsesfunktionalitet inkluderer den ondsindede kode også bagdørsfunktionalitet for at give fjernadgang til systemet. På tidspunktet for hændelsen var bagdørskontrolserverne (C&C) ikke aktive.
I alt, når man studerede de berørte projekter, blev 4 varianter af infektion identificeret. I en af mulighederne, for at aktivere bagdøren i Linux, blev der oprettet en autostart-fil "$HOME/.config/autostart/octo.desktop", og i Windows blev opgaver startet via schtasks for at starte den. Andre oprettede filer omfatter:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Bagdøren kunne bruges til at tilføje bogmærker til koden udviklet af udvikleren, lække kode for proprietære systemer, stjæle fortrolige data og overtage konti. Forskere fra GitHub udelukker ikke, at ondsindet aktivitet ikke er begrænset til NetBeans, og der kan være andre varianter af Octopus Scanner, der er indlejret i byggeprocessen baseret på Make, MsBuild, Gradle og andre systemer til at sprede sig selv.
Navnene på de berørte projekter er ikke nævnt, men det kan de sagtens være gennem en søgning i GitHub ved hjælp af "cache.dat"-masken. Blandt de projekter, hvor der blev fundet spor af ondsindet aktivitet: , , , , , , , , , , , , .
Kilde: opennet.ru