GitHub
Το κακόβουλο λογισμικό είναι σε θέση να αναγνωρίσει τα αρχεία έργου NetBeans και να προσθέσει τον κώδικά του στα αρχεία του έργου και στα μεταγλωττισμένα αρχεία JAR. Ο αλγόριθμος εργασίας καταλήγει στην εύρεση του καταλόγου NetBeans με τα έργα του χρήστη, στην απαρίθμηση όλων των έργων σε αυτόν τον κατάλογο, στην αντιγραφή του κακόβουλου σεναρίου σε
Όταν έγινε λήψη και εκκίνηση του μολυσμένου αρχείου JAR από άλλο χρήστη, ξεκίνησε ένας άλλος κύκλος αναζήτησης για το NetBeans και εισαγωγής κακόβουλου κώδικα στο σύστημά του, ο οποίος αντιστοιχεί στο μοντέλο λειτουργίας των αυτοδιαδιδόμενων ιών υπολογιστών. Εκτός από τη λειτουργία αυτοδιάδοσης, ο κακόβουλος κώδικας περιλαμβάνει επίσης λειτουργία backdoor για την παροχή απομακρυσμένης πρόσβασης στο σύστημα. Τη στιγμή του συμβάντος, οι διακομιστές ελέγχου της κερκόπορτας (C&C) δεν ήταν ενεργοί.
Συνολικά, κατά τη μελέτη των επηρεαζόμενων έργων, εντοπίστηκαν 4 παραλλαγές μόλυνσης. Σε μία από τις επιλογές, για την ενεργοποίηση της κερκόπορτας στο Linux, δημιουργήθηκε ένα αρχείο αυτόματης εκκίνησης «$HOME/.config/autostart/octo.desktop» και στα Windows εκκινήθηκαν εργασίες μέσω schtasks για την εκκίνηση του. Άλλα αρχεία που δημιουργήθηκαν περιλαμβάνουν:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Το backdoor θα μπορούσε να χρησιμοποιηθεί για την προσθήκη σελιδοδεικτών στον κώδικα που αναπτύχθηκε από τον προγραμματιστή, τη διαρροή κώδικα ιδιόκτητων συστημάτων, την κλοπή εμπιστευτικών δεδομένων και την ανάληψη λογαριασμών. Οι ερευνητές από το GitHub δεν αποκλείουν ότι η κακόβουλη δραστηριότητα δεν περιορίζεται στο NetBeans και μπορεί να υπάρχουν άλλες παραλλαγές του Octopus Scanner που είναι ενσωματωμένες στη διαδικασία κατασκευής που βασίζονται στο Make, MsBuild, Gradle και άλλα συστήματα για να εξαπλωθούν.
Τα ονόματα των έργων που επηρεάζονται δεν αναφέρονται, αλλά μπορούν εύκολα να αναφέρονται
Πηγή: opennet.ru