GitHub
Die Malware ist in der Lage, NetBeans-Projektdateien zu identifizieren und ihren Code zu den Projektdateien und kompilierten JAR-Dateien hinzuzufügen. Der Arbeitsalgorithmus besteht darin, das NetBeans-Verzeichnis mit den Projekten des Benutzers zu finden, alle Projekte in diesem Verzeichnis aufzulisten und das schädliche Skript dorthin zu kopieren
Als die infizierte JAR-Datei von einem anderen Benutzer heruntergeladen und gestartet wurde, begann ein weiterer Zyklus der Suche nach NetBeans und der Einführung von Schadcode auf seinem System, was dem Betriebsmodell selbstverbreitender Computerviren entspricht. Neben der Selbstverbreitungsfunktion verfügt der Schadcode auch über eine Backdoor-Funktion, um einen Fernzugriff auf das System zu ermöglichen. Zum Zeitpunkt des Vorfalls waren die Backdoor Control (C&C)-Server nicht aktiv.
Insgesamt wurden bei der Untersuchung der betroffenen Projekte 4 Infektionsvarianten identifiziert. Bei einer der Optionen, um die Hintertür unter Linux zu aktivieren, wurde eine Autostart-Datei „$HOME/.config/autostart/octo.desktop“ erstellt und unter Windows wurden Aufgaben über schtasks gestartet, um sie zu starten. Zu den weiteren erstellten Dateien gehören:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Die Hintertür könnte genutzt werden, um dem vom Entwickler entwickelten Code Lesezeichen hinzuzufügen, Code proprietärer Systeme durchsickern zu lassen, vertrauliche Daten zu stehlen und Konten zu übernehmen. Forscher von GitHub schließen nicht aus, dass bösartige Aktivitäten nicht auf NetBeans beschränkt sind und es möglicherweise andere Varianten von Octopus Scanner gibt, die in den Build-Prozess eingebettet sind, der auf Make, MsBuild, Gradle und anderen Systemen basiert, um sich zu verbreiten.
Die Namen der betroffenen Projekte werden nicht genannt, können aber durchaus genannt werden
Source: opennet.ru