GitHub
La malware kapablas identigi projektodosierojn de NetBeans kaj aldoni ĝian kodon al la projektodosieroj kaj kompilitaj JAR-dosieroj. La laboralgoritmo resumas trovi la dosierujon NetBeans kun la projektoj de la uzanto, listigi ĉiujn projektojn en ĉi tiu dosierujo, kopii la malican skripton al
Kiam la infektita JAR-dosiero estis elŝutita kaj lanĉita de alia uzanto, alia ciklo de serĉado de NetBeans kaj enkonduko de malica kodo komenciĝis en lia sistemo, kiu respondas al la mastruma modelo de mem-disvastiĝantaj komputilvirusoj. Aldone al mem-disvastiga funkcieco, la malica kodo ankaŭ inkluzivas malantaŭpordan funkciecon por disponigi malproksiman aliron al la sistemo. Dum la okazaĵo, la serviloj de malantaŭporda kontrolo (C&C) ne estis aktivaj.
Entute, studante la tuŝitajn projektojn, 4 variantoj de infekto estis identigitaj. En unu el la opcioj, por aktivigi la malantaŭan pordon en Linukso, aŭtostartdosiero "$HOME/.config/autostart/octo.desktop" estis kreita, kaj en Vindozo, taskoj estis lanĉitaj per schtasks por lanĉi ĝin. Aliaj dosieroj kreitaj inkluzivas:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Biblioteko/LaunchAgents/AutoUpdater.dat
- $HOME/Biblioteko/LaunchAgents/AutoUpdater.plist
- $HOME/Biblioteko/LaunchAgents/SoftwareSync.plist
- $HOME/Biblioteko/LaunchAgents/Main.class
La malantaŭa pordo povus esti uzata por aldoni legosignojn al la kodo evoluigita de la programisto, liki kodon de proprietaj sistemoj, ŝteli konfidencajn datumojn kaj transpreni kontojn. Esploristoj de GitHub ne ekskludas, ke malica agado ne estas limigita al NetBeans kaj povas ekzisti aliaj variantoj de Octopus Scanner, kiuj estas enkonstruitaj en la konstruprocezo bazita sur Make, MsBuild, Gradle kaj aliaj sistemoj por disvastigi sin.
La nomoj de la trafitaj projektoj ne estas menciitaj, sed ili povas facile esti
fonto: opennet.ru