GitHub Haittaohjelma, joka hyökkää NetBeans IDE:n projekteihin ja käyttää rakennusprosessia levittääkseen itseään. Tutkimus osoitti, että käyttämällä kyseessä olevaa haittaohjelmaa, jolle annettiin nimi Octopus Scanner, takaovet integroitiin salaisesti 26 avoimeen projektiin, joissa oli arkistot GitHubissa. Ensimmäiset jäljet Octopus Scannerin manifestaatiosta ovat peräisin elokuulta 2018.
Haittaohjelma pystyy tunnistamaan NetBeans-projektitiedostot ja lisäämään koodinsa projektitiedostoihin ja käännettyihin JAR-tiedostoihin. Työalgoritmi tiivistyy siihen, että etsitään NetBeans-hakemisto käyttäjän projekteista, luetellaan kaikki tämän hakemiston projektit ja kopioidaan haitallinen komentosarja ja tehdä muutoksia tiedostoon kutsua tätä komentosarjaa aina, kun projekti rakennetaan. Koottuna kopio haittaohjelmasta sisällytetään tuloksena oleviin JAR-tiedostoihin, joista tulee jatkojakelun lähde. Haitallisia tiedostoja lähetettiin esimerkiksi edellä mainittujen 26 avoimen lähdekoodin projektin arkistoon sekä useisiin muihin projekteihin uusien julkaisujen koontiversioita julkaistaessa.
Kun toinen käyttäjä latasi ja käynnisti tartunnan saaneen JAR-tiedoston, hänen järjestelmässään alkoi uusi NetBeans-hakukierros ja haitallisen koodin lisääminen, mikä vastaa itsestään leviävien tietokonevirusten toimintamallia. Haitallinen koodi sisältää itse leviämistoimintojen lisäksi myös takaovitoiminnon, joka mahdollistaa järjestelmän etäkäytön. Tapahtumahetkellä takaoven ohjaus (C&C) -palvelimet eivät olleet aktiivisia.
Kaiken kaikkiaan tartunnan saaneita hankkeita tutkittaessa tunnistettiin 4 infektion muunnelmaa. Yhdessä vaihtoehdossa, takaoven aktivoimiseksi Linuxissa, luotiin automaattisesti käynnistystiedosto “$HOME/.config/autostart/octo.desktop”, ja Windowsissa käynnistettiin tehtävät schtasksin avulla sen käynnistämiseksi. Muita luotuja tiedostoja ovat:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Takaovea voidaan käyttää lisäämään kirjanmerkkejä kehittäjän kehittämään koodiin, vuotamaan omien järjestelmien koodia, varastamaan luottamuksellisia tietoja ja ottamaan haltuunsa tilejä. GitHubin tutkijat eivät sulje pois sitä, että haitallinen toiminta ei rajoitu NetBeansiin, ja Octopus Scannerista voi olla muitakin muunnelmia, jotka on upotettu Make-, MsBuild-, Gradle- ja muihin järjestelmiin perustuvaan rakennusprosessiin levittääkseen itseään.
Hankkeiden nimiä, joita asia koskee, ei mainita, mutta ne voidaan helposti mainita haun kautta GitHubissa käyttämällä "cache.dat" maskia. Hankkeista, joissa haitallisen toiminnan jälkiä löydettiin: , , , , , , , , , , , , .
Lähde: opennet.ru