GitHub Pahavara, mis ründab NetBeansi IDE projekte ja kasutab enda levitamiseks ehitusprotsessi. Uurimine näitas, et kasutades kõnealust pahavara, millele anti nimi Octopus Scanner, integreeriti tagauksed varjatult 26 avatud projekti GitHubi hoidlates. Esimesed jäljed Octopus Scanneri manifestatsioonist pärinevad 2018. aasta augustist.
Pahavara suudab tuvastada NetBeansi projektifailid ja lisada oma koodi projektifailidele ja kompileeritud JAR-failidele. Tööalgoritm taandub NetBeansi kataloogi leidmisele kasutaja projektidega, loetleb kõik selles kataloogis olevad projektid, kopeerib pahatahtliku skripti ja failis muudatuste tegemine et kutsuda seda skripti iga kord, kui projekt koostatakse. Kokkupanduna lisatakse pahavara koopia saadud JAR-failidesse, millest saab edasise levitamise allikas. Näiteks eelnimetatud 26 avatud lähtekoodiga projekti hoidlatesse postitati pahatahtlikud failid, aga ka mitmetesse muudesse projektidesse uute väljaannete ehituste avaldamisel.
Kui nakatunud JAR-fail laadis alla ja käivitas teine kasutaja, algas tema süsteemis järjekordne NetBeansi otsimise ja pahatahtliku koodi sisestamise tsükkel, mis vastab ise levivate arvutiviiruste töömudelile. Lisaks iselevitamise funktsioonidele sisaldab pahatahtlik kood ka tagaukse funktsioone, mis võimaldavad süsteemile kaugjuurdepääsu. Juhtumi ajal ei olnud tagaukse juhtimise (C&C) serverid aktiivsed.
Kokku tuvastati mõjutatud projektide uurimisel 4 nakkuse varianti. Ühes valikus loodi Linuxis tagaukse aktiveerimiseks automaatkäivitusfail “$HOME/.config/autostart/octo.desktop” ja Windowsis käivitati selle käivitamiseks ülesanded schtaskide kaudu. Muud loodud failid hõlmavad järgmist:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Tagaust saab kasutada arendaja väljatöötatud koodile järjehoidjate lisamiseks, varaliste süsteemide koodide lekitamiseks, konfidentsiaalsete andmete varastamiseks ja kontode ülevõtmiseks. GitHubi teadlased ei välista, et pahatahtlik tegevus ei piirdu NetBeansiga ja võib olla ka teisi Octopus Scanneri variante, mis on Make, MsBuild, Gradle ja muudel süsteemidel põhinevasse ehitusprotsessi manustatud, et ennast levitada.
Mõjutatud projektide nimesid ei mainita, kuid need võivad kergesti olla läbi otsingu GitHubis, kasutades maski „cache.dat”. Projektide hulgas, milles leiti pahatahtliku tegevuse jälgi: , , , , , , , , , , , , .
Allikas: opennet.ru