GitHub Malware kiu atakas projektojn en la NetBeans IDE kaj uzas la konstruprocezon por disvastigi sin. La esploro montris, ke uzante la koncernan malware, kiu ricevis la nomon Octopus Scanner, malantaŭaj pordoj estis kaŝe integritaj en 26 malfermitajn projektojn kun deponejoj en GitHub. La unuaj spuroj de la manifestiĝo de Octopus Scanner datiĝas de aŭgusto 2018.
La malware kapablas identigi projektodosierojn de NetBeans kaj aldoni ĝian kodon al la projektodosieroj kaj kompilitaj JAR-dosieroj. La laboralgoritmo resumas trovi la dosierujon NetBeans kun la projektoj de la uzanto, listigi ĉiujn projektojn en ĉi tiu dosierujo, kopii la malican skripton al kaj farante ŝanĝojn al la dosiero voki ĉi tiun skripton ĉiufoje kiam la projekto estas konstruita. Kiam kunvenita, kopio de la malware estas inkluzivita en la rezultaj JAR-dosieroj, kiuj fariĝas fonto de plia distribuo. Ekzemple, malicaj dosieroj estis afiŝitaj al la deponejoj de la supre menciitaj 26 malfermfontaj projektoj, same kiel diversaj aliaj projektoj dum publikigado de konstruoj de novaj eldonoj.
Kiam la infektita JAR-dosiero estis elŝutita kaj lanĉita de alia uzanto, alia ciklo de serĉado de NetBeans kaj enkonduko de malica kodo komenciĝis en lia sistemo, kiu respondas al la mastruma modelo de mem-disvastiĝantaj komputilvirusoj. Aldone al mem-disvastiga funkcieco, la malica kodo ankaŭ inkluzivas malantaŭpordan funkciecon por disponigi malproksiman aliron al la sistemo. Dum la okazaĵo, la serviloj de malantaŭporda kontrolo (C&C) ne estis aktivaj.
Entute, studante la tuŝitajn projektojn, 4 variantoj de infekto estis identigitaj. En unu el la opcioj, por aktivigi la malantaŭan pordon en Linukso, aŭtostartdosiero "$HOME/.config/autostart/octo.desktop" estis kreita, kaj en Vindozo, taskoj estis lanĉitaj per schtasks por lanĉi ĝin. Aliaj dosieroj kreitaj inkluzivas:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Biblioteko/LaunchAgents/AutoUpdater.dat
- $HOME/Biblioteko/LaunchAgents/AutoUpdater.plist
- $HOME/Biblioteko/LaunchAgents/SoftwareSync.plist
- $HOME/Biblioteko/LaunchAgents/Main.class
La malantaŭa pordo povus esti uzata por aldoni legosignojn al la kodo evoluigita de la programisto, liki kodon de proprietaj sistemoj, ŝteli konfidencajn datumojn kaj transpreni kontojn. Esploristoj de GitHub ne ekskludas, ke malica agado ne estas limigita al NetBeans kaj povas ekzisti aliaj variantoj de Octopus Scanner, kiuj estas enkonstruitaj en la konstruprocezo bazita sur Make, MsBuild, Gradle kaj aliaj sistemoj por disvastigi sin.
La nomoj de la trafitaj projektoj ne estas menciitaj, sed ili povas facile esti per serĉo en GitHub uzante la maskon "cache.dat". Inter la projektoj en kiuj spuroj de malica agado estis trovitaj: , , , , , , , , , , , , .
fonto: opennet.ru