GitHub
Pahavara suudab tuvastada NetBeansi projektifailid ja lisada oma koodi projektifailidele ja kompileeritud JAR-failidele. Tööalgoritm taandub NetBeansi kataloogi leidmisele kasutaja projektidega, loetleb kõik selles kataloogis olevad projektid, kopeerib pahatahtliku skripti
Kui nakatunud JAR-fail laadis alla ja käivitas teine kasutaja, algas tema süsteemis järjekordne NetBeansi otsimise ja pahatahtliku koodi sisestamise tsükkel, mis vastab ise levivate arvutiviiruste töömudelile. Lisaks iselevitamise funktsioonidele sisaldab pahatahtlik kood ka tagaukse funktsioone, mis võimaldavad süsteemile kaugjuurdepääsu. Juhtumi ajal ei olnud tagaukse juhtimise (C&C) serverid aktiivsed.
Kokku tuvastati mõjutatud projektide uurimisel 4 nakkuse varianti. Ühes valikus loodi Linuxis tagaukse aktiveerimiseks automaatkäivitusfail “$HOME/.config/autostart/octo.desktop” ja Windowsis käivitati selle käivitamiseks ülesanded schtaskide kaudu. Muud loodud failid hõlmavad järgmist:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Tagaust saab kasutada arendaja väljatöötatud koodile järjehoidjate lisamiseks, varaliste süsteemide koodide lekitamiseks, konfidentsiaalsete andmete varastamiseks ja kontode ülevõtmiseks. GitHubi teadlased ei välista, et pahatahtlik tegevus ei piirdu NetBeansiga ja võib olla ka teisi Octopus Scanneri variante, mis on Make, MsBuild, Gradle ja muudel süsteemidel põhinevasse ehitusprotsessi manustatud, et ennast levitada.
Mõjutatud projektide nimesid ei mainita, kuid need võivad kergesti olla
Allikas: opennet.ru