GitHub Malware que ataca proyectos en NetBeans IDE y utiliza el proceso de compilación para propagarse. La investigación demostró que con el malware en cuestión, llamado Octopus Scanner, se integraban puertas traseras de forma encubierta en 26 proyectos abiertos con repositorios en GitHub. Los primeros rastros de la manifestación del Octopus Scanner se remontan a agosto de 2018.
El malware puede identificar archivos de proyecto NetBeans y agregar su código a los archivos del proyecto y a los archivos JAR compilados. El algoritmo de trabajo se reduce a encontrar el directorio NetBeans con los proyectos del usuario, enumerar todos los proyectos en este directorio y copiar el script malicioso a y hacer cambios en el archivo llamar a este script cada vez que se construye el proyecto. Cuando se ensambla, se incluye una copia del malware en los archivos JAR resultantes, que se convierten en una fuente de distribución posterior. Por ejemplo, se publicaron archivos maliciosos en los repositorios de los 26 proyectos de código abierto mencionados anteriormente, así como en varios otros proyectos al publicar versiones de nuevas versiones.
Cuando otro usuario descargó y ejecutó el archivo JAR infectado, comenzó otro ciclo de búsqueda de NetBeans e introducción de código malicioso en su sistema, que corresponde al modelo operativo de los virus informáticos que se propagan automáticamente. Además de la funcionalidad de autopropagación, el código malicioso también incluye una funcionalidad de puerta trasera para proporcionar acceso remoto al sistema. En el momento del incidente, los servidores de control de puerta trasera (C&C) no estaban activos.
En total, al estudiar los proyectos afectados se identificaron 4 variantes de infección. En una de las opciones, para activar la puerta trasera en Linux, se creaba un archivo de inicio automático “$HOME/.config/autostart/octo.desktop”, y en Windows se iniciaban tareas mediante schtasks para iniciarlo. Otros archivos creados incluyen:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Biblioteca/LaunchAgents/AutoUpdater.dat
- $HOME/Biblioteca/LaunchAgents/AutoUpdater.plist
- $HOME/Biblioteca/LaunchAgents/SoftwareSync.plist
- $HOME/Biblioteca/LaunchAgents/Clase.principal
La puerta trasera podría usarse para agregar marcadores al código desarrollado por el desarrollador, filtrar código de sistemas propietarios, robar datos confidenciales y hacerse cargo de cuentas. Los investigadores de GitHub no descartan que la actividad maliciosa no se limite a NetBeans y que pueda haber otras variantes de Octopus Scanner integradas en el proceso de construcción basadas en Make, MsBuild, Gradle y otros sistemas para propagarse.
Los nombres de los proyectos afectados no se mencionan, pero pueden identificarse fácilmente. mediante una búsqueda en GitHub usando la máscara “cache.dat”. Entre los proyectos en los que se encontraron rastros de actividad maliciosa: , , , , , , , , , , , , .
Fuente: opennet.ru