ProHoster > وبلاگ > اخبار اینترنتی > بدافزاری که به NetBeans حمله می کند تا درب های پشتی را به پروژه های ساخته شده تزریق کند

بدافزاری که به NetBeans حمله می کند تا درب های پشتی را به پروژه های ساخته شده تزریق کند

GitHub شناخته شده است بدافزاری که به پروژه ها در NetBeans IDE حمله می کند و از فرآیند ساخت برای گسترش خود استفاده می کند. تحقیقات نشان داد که با استفاده از بدافزار مورد بحث، که به نام Octopus Scanner داده شد، درهای پشتی به طور مخفیانه در 26 پروژه باز با مخازن در GitHub ادغام شدند. اولین آثار تجلی اسکنر اختاپوس به آگوست 2018 برمی گردد.

این بدافزار قادر است فایل های پروژه NetBeans را شناسایی کرده و کد آن را به فایل های پروژه و فایل های JAR کامپایل شده اضافه کند. الگوریتم کار به یافتن دایرکتوری NetBeans با پروژه های کاربر، برشمردن همه پروژه ها در این فهرست، کپی کردن اسکریپت مخرب در nbproject/cache.dat و ایجاد تغییرات در فایل nbproject/build-impl.xml برای فراخوانی این اسکریپت هر بار که پروژه ساخته می شود. هنگامی که مونتاژ می شود، یک کپی از بدافزار در فایل های JAR حاصل گنجانده می شود که به منبع توزیع بیشتر تبدیل می شود. به عنوان مثال، فایل های مخرب در مخازن 26 پروژه منبع باز ذکر شده در بالا و همچنین پروژه های مختلف دیگر هنگام انتشار بیلدهای نسخه های جدید پست شدند.

هنگامی که فایل JAR آلوده توسط کاربر دیگری دانلود و راه اندازی شد، چرخه دیگری از جستجوی NetBeans و معرفی کدهای مخرب در سیستم او آغاز شد که مطابق با مدل عملیاتی ویروس های کامپیوتری خود انتشار می باشد. علاوه بر عملکرد خود انتشار، کد مخرب همچنین شامل عملکرد درب پشتی برای دسترسی از راه دور به سیستم است. در زمان وقوع حادثه، سرورهای کنترل درب پشتی (C&C) فعال نبودند.

بدافزاری که به NetBeans حمله می کند تا درب های پشتی را به پروژه های ساخته شده تزریق کند

در مجموع، هنگام مطالعه پروژه های آسیب دیده، 4 نوع آلودگی شناسایی شد. در یکی از گزینه ها، برای فعال کردن درب پشتی در لینوکس، یک فایل شروع خودکار "$HOME/.config/autostart/octo.desktop" ایجاد شد و در ویندوز، وظایف از طریق schtasks برای راه اندازی آن راه اندازی شد. سایر فایل های ایجاد شده عبارتند از:

  • $HOME/.local/share/bbauto
  • $HOME/.config/autostart/none.desktop
  • $HOME/.config/autostart/.desktop
  • $HOME/.local/share/Main.class
  • $HOME/Library/LaunchAgents/AutoUpdater.dat
  • $HOME/Library/LaunchAgents/AutoUpdater.plist
  • $HOME/Library/LaunchAgents/SoftwareSync.plist
  • $HOME/Library/LaunchAgents/Main.class

از درب پشتی می‌توان برای افزودن نشانک‌ها به کد توسعه‌دهنده، افشای کد سیستم‌های اختصاصی، سرقت داده‌های محرمانه و کنترل حساب‌ها استفاده کرد. محققان GitHub رد نمی‌کنند که فعالیت‌های مخرب به NetBeans محدود نمی‌شود و ممکن است انواع دیگری از Octopus Scanner وجود داشته باشد که در فرآیند ساخت بر اساس Make، MsBuild، Gradle و سایر سیستم‌ها تعبیه شده‌اند تا خود را گسترش دهند.

نام پروژه های آسیب دیده ذکر نشده است، اما به راحتی می توان آنها را نام برد پیدا کردن از طریق جستجو در GitHub با استفاده از ماسک "cache.dat". از جمله پروژه هایی که در آنها آثاری از فعالیت های مخرب یافت شد: V2Mp3Player, جاوا پکمن, کوسیم-فریم ورک, پونتو دی ونتا, 2 بعدی-فیزیک-شبیه سازی, PacmanGame, GuessThe Animal, SnakeCenterBox4, Secuencia Numerica, مرکز تماس, ProyectoGerundio, pacman-java_ia, SuperMario-FR-.

منبع: opennet.ru

اضافه کردن نظر