GitHub Κακόβουλο λογισμικό που επιτίθεται σε έργα στο NetBeans IDE και χρησιμοποιεί τη διαδικασία δημιουργίας για να εξαπλωθεί. Η έρευνα έδειξε ότι χρησιμοποιώντας το εν λόγω κακόβουλο λογισμικό, στο οποίο δόθηκε το όνομα Octopus Scanner, τα backdoors ενσωματώθηκαν κρυφά σε 26 ανοιχτά έργα με αποθετήρια στο GitHub. Τα πρώτα ίχνη της εκδήλωσης του Octopus Scanner χρονολογούνται από τον Αύγουστο του 2018.
Το κακόβουλο λογισμικό είναι σε θέση να αναγνωρίσει τα αρχεία έργου NetBeans και να προσθέσει τον κώδικά του στα αρχεία του έργου και στα μεταγλωττισμένα αρχεία JAR. Ο αλγόριθμος εργασίας καταλήγει στην εύρεση του καταλόγου NetBeans με τα έργα του χρήστη, στην απαρίθμηση όλων των έργων σε αυτόν τον κατάλογο, στην αντιγραφή του κακόβουλου σεναρίου σε και να κάνετε αλλαγές στο αρχείο για να καλείτε αυτό το σενάριο κάθε φορά που δημιουργείται το έργο. Κατά τη συναρμολόγηση, ένα αντίγραφο του κακόβουλου λογισμικού περιλαμβάνεται στα αρχεία JAR που προκύπτουν, τα οποία γίνονται πηγή περαιτέρω διανομής. Για παράδειγμα, κακόβουλα αρχεία δημοσιεύτηκαν στα αποθετήρια των προαναφερθέντων 26 έργων ανοιχτού κώδικα, καθώς και σε διάφορα άλλα έργα κατά τη δημοσίευση εκδόσεων νέων εκδόσεων.
Όταν έγινε λήψη και εκκίνηση του μολυσμένου αρχείου JAR από άλλο χρήστη, ξεκίνησε ένας άλλος κύκλος αναζήτησης για το NetBeans και εισαγωγής κακόβουλου κώδικα στο σύστημά του, ο οποίος αντιστοιχεί στο μοντέλο λειτουργίας των αυτοδιαδιδόμενων ιών υπολογιστών. Εκτός από τη λειτουργία αυτοδιάδοσης, ο κακόβουλος κώδικας περιλαμβάνει επίσης λειτουργία backdoor για την παροχή απομακρυσμένης πρόσβασης στο σύστημα. Τη στιγμή του συμβάντος, οι διακομιστές ελέγχου της κερκόπορτας (C&C) δεν ήταν ενεργοί.
Συνολικά, κατά τη μελέτη των επηρεαζόμενων έργων, εντοπίστηκαν 4 παραλλαγές μόλυνσης. Σε μία από τις επιλογές, για την ενεργοποίηση της κερκόπορτας στο Linux, δημιουργήθηκε ένα αρχείο αυτόματης εκκίνησης «$HOME/.config/autostart/octo.desktop» και στα Windows εκκινήθηκαν εργασίες μέσω schtasks για την εκκίνηση του. Άλλα αρχεία που δημιουργήθηκαν περιλαμβάνουν:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Το backdoor θα μπορούσε να χρησιμοποιηθεί για την προσθήκη σελιδοδεικτών στον κώδικα που αναπτύχθηκε από τον προγραμματιστή, τη διαρροή κώδικα ιδιόκτητων συστημάτων, την κλοπή εμπιστευτικών δεδομένων και την ανάληψη λογαριασμών. Οι ερευνητές από το GitHub δεν αποκλείουν ότι η κακόβουλη δραστηριότητα δεν περιορίζεται στο NetBeans και μπορεί να υπάρχουν άλλες παραλλαγές του Octopus Scanner που είναι ενσωματωμένες στη διαδικασία κατασκευής που βασίζονται στο Make, MsBuild, Gradle και άλλα συστήματα για να εξαπλωθούν.
Τα ονόματα των έργων που επηρεάζονται δεν αναφέρονται, αλλά μπορούν εύκολα να αναφέρονται μέσω αναζήτησης στο GitHub χρησιμοποιώντας τη μάσκα "cache.dat". Μεταξύ των έργων στα οποία βρέθηκαν ίχνη κακόβουλης δραστηριότητας: , , , , , , , , , , , , .
Πηγή: opennet.ru