GitHub
Haittaohjelma pystyy tunnistamaan NetBeans-projektitiedostot ja lisäämään koodinsa projektitiedostoihin ja käännettyihin JAR-tiedostoihin. Työalgoritmi tiivistyy siihen, että etsitään NetBeans-hakemisto käyttäjän projekteista, luetellaan kaikki tämän hakemiston projektit ja kopioidaan haitallinen komentosarja
Kun toinen käyttäjä latasi ja käynnisti tartunnan saaneen JAR-tiedoston, hänen järjestelmässään alkoi uusi NetBeans-hakukierros ja haitallisen koodin lisääminen, mikä vastaa itsestään leviävien tietokonevirusten toimintamallia. Haitallinen koodi sisältää itse leviämistoimintojen lisäksi myös takaovitoiminnon, joka mahdollistaa järjestelmän etäkäytön. Tapahtumahetkellä takaoven ohjaus (C&C) -palvelimet eivät olleet aktiivisia.
Kaiken kaikkiaan tartunnan saaneita hankkeita tutkittaessa tunnistettiin 4 infektion muunnelmaa. Yhdessä vaihtoehdossa, takaoven aktivoimiseksi Linuxissa, luotiin automaattisesti käynnistystiedosto “$HOME/.config/autostart/octo.desktop”, ja Windowsissa käynnistettiin tehtävät schtasksin avulla sen käynnistämiseksi. Muita luotuja tiedostoja ovat:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Takaovea voidaan käyttää lisäämään kirjanmerkkejä kehittäjän kehittämään koodiin, vuotamaan omien järjestelmien koodia, varastamaan luottamuksellisia tietoja ja ottamaan haltuunsa tilejä. GitHubin tutkijat eivät sulje pois sitä, että haitallinen toiminta ei rajoitu NetBeansiin, ja Octopus Scannerista voi olla muitakin muunnelmia, jotka on upotettu Make-, MsBuild-, Gradle- ja muihin järjestelmiin perustuvaan rakennusprosessiin levittääkseen itseään.
Hankkeiden nimiä, joita asia koskee, ei mainita, mutta ne voidaan helposti mainita
Lähde: opennet.ru