GitHub
این بدافزار قادر است فایل های پروژه NetBeans را شناسایی کرده و کد آن را به فایل های پروژه و فایل های JAR کامپایل شده اضافه کند. الگوریتم کار به یافتن دایرکتوری NetBeans با پروژه های کاربر، برشمردن همه پروژه ها در این فهرست، کپی کردن اسکریپت مخرب در
هنگامی که فایل JAR آلوده توسط کاربر دیگری دانلود و راه اندازی شد، چرخه دیگری از جستجوی NetBeans و معرفی کدهای مخرب در سیستم او آغاز شد که مطابق با مدل عملیاتی ویروس های کامپیوتری خود انتشار می باشد. علاوه بر عملکرد خود انتشار، کد مخرب همچنین شامل عملکرد درب پشتی برای دسترسی از راه دور به سیستم است. در زمان وقوع حادثه، سرورهای کنترل درب پشتی (C&C) فعال نبودند.
در مجموع، هنگام مطالعه پروژه های آسیب دیده، 4 نوع آلودگی شناسایی شد. در یکی از گزینه ها، برای فعال کردن درب پشتی در لینوکس، یک فایل شروع خودکار "$HOME/.config/autostart/octo.desktop" ایجاد شد و در ویندوز، وظایف از طریق schtasks برای راه اندازی آن راه اندازی شد. سایر فایل های ایجاد شده عبارتند از:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
از درب پشتی میتوان برای افزودن نشانکها به کد توسعهدهنده، افشای کد سیستمهای اختصاصی، سرقت دادههای محرمانه و کنترل حسابها استفاده کرد. محققان GitHub رد نمیکنند که فعالیتهای مخرب به NetBeans محدود نمیشود و ممکن است انواع دیگری از Octopus Scanner وجود داشته باشد که در فرآیند ساخت بر اساس Make، MsBuild، Gradle و سایر سیستمها تعبیه شدهاند تا خود را گسترش دهند.
نام پروژه های آسیب دیده ذکر نشده است، اما به راحتی می توان آنها را نام برد
منبع: opennet.ru