GitHub
Malwarea gai da NetBeans proiektu-fitxategiak identifikatzeko eta bere kodea gehitzeko proiektu-fitxategietara eta konpilatutako JAR fitxategietara. Lan-algoritmoa erabiltzailearen proiektuekin NetBeans direktorioa aurkitzea da, direktorio honetako proiektu guztiak zerrendatzea, script gaiztoa kopiatzea.
Beste erabiltzaile batek infektatutako JAR fitxategia deskargatu eta abiarazi zuenean, beste ziklo bat hasi zen bere sisteman NetBeans bilatzeko eta kode gaiztoa sartzeko, birus informatiko auto-hedatzaileen funtzionamendu ereduari dagokiona. Auto-hedapen-funtzionalitateaz gain, kode gaiztoak atzeko atzeko funtzionaltasuna ere barne hartzen du sistemara urruneko sarbidea emateko. Gertaera gertatu zen unean, atzeko ateko kontrol (C&C) zerbitzariak ez zeuden aktibo.
Guztira, kaltetutako proiektuak aztertzean, 4 infekzio aldaera identifikatu ziren. Aukeretako batean, Linux-en atzeko atea aktibatzeko, "$HOME/.config/autostart/octo.desktop" autostart fitxategi bat sortu zen, eta Windows-en, schtasks-en bidez abiarazi ziren zereginak abiarazteko. Sortutako beste fitxategi batzuk hauek dira:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Liburutegia/LaunchAgents/AutoUpdater.dat
- $HOME/Liburutegia/LaunchAgents/AutoUpdater.plist
- $HOME/Liburutegia/LaunchAgents/SoftwareSync.plist
- $HOME/Liburutegia/LaunchAgents/Main.class
Atzeko atea erabil liteke garatzaileak garatutako kodeari laster-markak gehitzeko, jabedun sistemen kodea filtratzeko, isilpeko datuak lapurtzeko eta kontuak hartzeko. GitHub-eko ikertzaileek ez dute baztertzen jarduera gaiztoa ez dela NetBeans-era mugatzen eta Make, MsBuild, Gradle eta beste sistema batzuetan oinarritutako Make, MsBuild, Gradle eta beste sistema batzuetan txertatuta dauden Octopus Scanner-en beste aldaera batzuk egon daitezke.
Kaltetutako proiektuen izenak ez dira aipatzen, baina erraz izan daitezke
Iturria: opennet.ru