GitHub
El malware puede identificar archivos de proyecto NetBeans y agregar su código a los archivos del proyecto y a los archivos JAR compilados. El algoritmo de trabajo se reduce a encontrar el directorio NetBeans con los proyectos del usuario, enumerar todos los proyectos en este directorio y copiar el script malicioso a
Cuando otro usuario descargó y ejecutó el archivo JAR infectado, comenzó otro ciclo de búsqueda de NetBeans e introducción de código malicioso en su sistema, que corresponde al modelo operativo de los virus informáticos que se propagan automáticamente. Además de la funcionalidad de autopropagación, el código malicioso también incluye una funcionalidad de puerta trasera para proporcionar acceso remoto al sistema. En el momento del incidente, los servidores de control de puerta trasera (C&C) no estaban activos.
En total, al estudiar los proyectos afectados se identificaron 4 variantes de infección. En una de las opciones, para activar la puerta trasera en Linux, se creaba un archivo de inicio automático “$HOME/.config/autostart/octo.desktop”, y en Windows se iniciaban tareas mediante schtasks para iniciarlo. Otros archivos creados incluyen:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Biblioteca/LaunchAgents/AutoUpdater.dat
- $HOME/Biblioteca/LaunchAgents/AutoUpdater.plist
- $HOME/Biblioteca/LaunchAgents/SoftwareSync.plist
- $HOME/Biblioteca/LaunchAgents/Clase.principal
La puerta trasera podría usarse para agregar marcadores al código desarrollado por el desarrollador, filtrar código de sistemas propietarios, robar datos confidenciales y hacerse cargo de cuentas. Los investigadores de GitHub no descartan que la actividad maliciosa no se limite a NetBeans y que pueda haber otras variantes de Octopus Scanner integradas en el proceso de construcción basadas en Make, MsBuild, Gradle y otros sistemas para propagarse.
Los nombres de los proyectos afectados no se mencionan, pero pueden identificarse fácilmente.
Fuente: opennet.ru