GitHub NetBeans IDEko proiektuak erasotzen dituen malwarea eta eraikitzeko prozesua erabiltzen du bere burua zabaltzeko. Ikerketak erakutsi zuen Octopus Scanner izena jarri zioten malwarea erabiliz, atzeko ateak ezkutuan integratu zirela GitHub-en biltegiak zituzten 26 proiektu irekietan. Octopus Scanner agerraldiaren lehen arrastoak 2018ko abuzturakoak dira.
Malwarea gai da NetBeans proiektu-fitxategiak identifikatzeko eta bere kodea gehitzeko proiektu-fitxategietara eta konpilatutako JAR fitxategietara. Lan-algoritmoa erabiltzailearen proiektuekin NetBeans direktorioa aurkitzea da, direktorio honetako proiektu guztiak zerrendatzea, script gaiztoa kopiatzea. eta fitxategian aldaketak egitea proiektua eraikitzen den bakoitzean script honi deitzea. Muntatzen denean, malwarearen kopia bat sartzen da ondoriozko JAR fitxategietan, banaketa gehiagorako iturri bihurtzen direnak. Adibidez, goian aipatutako 26 kode irekiko proiektuen biltegietan fitxategi gaiztoak argitaratu ziren, baita beste hainbat proiektutan ere bertsio berrien eraikuntzak argitaratzean.
Beste erabiltzaile batek infektatutako JAR fitxategia deskargatu eta abiarazi zuenean, beste ziklo bat hasi zen bere sisteman NetBeans bilatzeko eta kode gaiztoa sartzeko, birus informatiko auto-hedatzaileen funtzionamendu ereduari dagokiona. Auto-hedapen-funtzionalitateaz gain, kode gaiztoak atzeko atzeko funtzionaltasuna ere barne hartzen du sistemara urruneko sarbidea emateko. Gertaera gertatu zen unean, atzeko ateko kontrol (C&C) zerbitzariak ez zeuden aktibo.
Guztira, kaltetutako proiektuak aztertzean, 4 infekzio aldaera identifikatu ziren. Aukeretako batean, Linux-en atzeko atea aktibatzeko, "$HOME/.config/autostart/octo.desktop" autostart fitxategi bat sortu zen, eta Windows-en, schtasks-en bidez abiarazi ziren zereginak abiarazteko. Sortutako beste fitxategi batzuk hauek dira:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Liburutegia/LaunchAgents/AutoUpdater.dat
- $HOME/Liburutegia/LaunchAgents/AutoUpdater.plist
- $HOME/Liburutegia/LaunchAgents/SoftwareSync.plist
- $HOME/Liburutegia/LaunchAgents/Main.class
Atzeko atea erabil liteke garatzaileak garatutako kodeari laster-markak gehitzeko, jabedun sistemen kodea filtratzeko, isilpeko datuak lapurtzeko eta kontuak hartzeko. GitHub-eko ikertzaileek ez dute baztertzen jarduera gaiztoa ez dela NetBeans-era mugatzen eta Make, MsBuild, Gradle eta beste sistema batzuetan oinarritutako Make, MsBuild, Gradle eta beste sistema batzuetan txertatuta dauden Octopus Scanner-en beste aldaera batzuk egon daitezke.
Kaltetutako proiektuen izenak ez dira aipatzen, baina erraz izan daitezke GitHub-en bilaketa baten bidez "cache.dat" maskara erabiliz. Jarduera maltzurren aztarnak aurkitu diren proiektuen artean: , , , , , , , , , , , , .
Iturria: opennet.ru