GitHub Malware, die Projekte in der NetBeans-IDE angreift und den Build-Prozess nutzt, um sich zu verbreiten. Die Untersuchung ergab, dass mithilfe der betreffenden Malware, die den Namen Octopus Scanner erhielt, heimlich Hintertüren in 26 offene Projekte mit Repositories auf GitHub integriert wurden. Die ersten Spuren der Octopus-Scanner-Manifestation stammen aus dem August 2018.
Die Malware ist in der Lage, NetBeans-Projektdateien zu identifizieren und ihren Code zu den Projektdateien und kompilierten JAR-Dateien hinzuzufügen. Der Arbeitsalgorithmus besteht darin, das NetBeans-Verzeichnis mit den Projekten des Benutzers zu finden, alle Projekte in diesem Verzeichnis aufzulisten und das schädliche Skript dorthin zu kopieren und Änderungen an der Datei vornehmen um dieses Skript jedes Mal aufzurufen, wenn das Projekt erstellt wird. Nach der Zusammenstellung wird eine Kopie der Malware in die resultierenden JAR-Dateien eingefügt, die als Quelle für die weitere Verbreitung dienen. Beispielsweise wurden bei der Veröffentlichung von Builds neuer Versionen schädliche Dateien in den Repositories der oben genannten 26 Open-Source-Projekte sowie verschiedener anderer Projekte gepostet.
Als die infizierte JAR-Datei von einem anderen Benutzer heruntergeladen und gestartet wurde, begann ein weiterer Zyklus der Suche nach NetBeans und der Einführung von Schadcode auf seinem System, was dem Betriebsmodell selbstverbreitender Computerviren entspricht. Neben der Selbstverbreitungsfunktion verfügt der Schadcode auch über eine Backdoor-Funktion, um einen Fernzugriff auf das System zu ermöglichen. Zum Zeitpunkt des Vorfalls waren die Backdoor Control (C&C)-Server nicht aktiv.
Insgesamt wurden bei der Untersuchung der betroffenen Projekte 4 Infektionsvarianten identifiziert. Bei einer der Optionen, um die Hintertür unter Linux zu aktivieren, wurde eine Autostart-Datei „$HOME/.config/autostart/octo.desktop“ erstellt und unter Windows wurden Aufgaben über schtasks gestartet, um sie zu starten. Zu den weiteren erstellten Dateien gehören:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Die Hintertür könnte genutzt werden, um dem vom Entwickler entwickelten Code Lesezeichen hinzuzufügen, Code proprietärer Systeme durchsickern zu lassen, vertrauliche Daten zu stehlen und Konten zu übernehmen. Forscher von GitHub schließen nicht aus, dass bösartige Aktivitäten nicht auf NetBeans beschränkt sind und es möglicherweise andere Varianten von Octopus Scanner gibt, die in den Build-Prozess eingebettet sind, der auf Make, MsBuild, Gradle und anderen Systemen basiert, um sich zu verbreiten.
Die Namen der betroffenen Projekte werden nicht genannt, können aber durchaus genannt werden durch eine Suche in GitHub mit der Maske „cache.dat“. Zu den Projekten, bei denen Spuren böswilliger Aktivitäten gefunden wurden: , , , , , , , , , , , , .
Source: opennet.ru