GitHub Logiciel malveillant qui attaque les projets dans l'EDI NetBeans et utilise le processus de construction pour se propager. L'enquête a montré qu'à l'aide du malware en question, baptisé Octopus Scanner, des portes dérobées ont été secrètement intégrées dans 26 projets ouverts avec des référentiels sur GitHub. Les premières traces de la manifestation Octopus Scanner remontent à août 2018.
Le malware est capable d'identifier les fichiers de projet NetBeans et d'ajouter son code aux fichiers de projet et aux fichiers JAR compilés. L'algorithme de travail se résume à trouver le répertoire NetBeans avec les projets de l'utilisateur, à énumérer tous les projets de ce répertoire, à copier le script malveillant dans et apporter des modifications au fichier appeler ce script à chaque fois que le projet est construit. Une fois assemblée, une copie du malware est incluse dans les fichiers JAR résultants, qui deviennent une source de distribution ultérieure. Par exemple, des fichiers malveillants ont été publiés dans les référentiels des 26 projets open source mentionnés ci-dessus, ainsi que dans divers autres projets lors de la publication de versions de nouvelles versions.
Lorsque le fichier JAR infecté a été téléchargé et lancé par un autre utilisateur, un autre cycle de recherche de NetBeans et d'introduction de code malveillant a commencé sur son système, ce qui correspond au modèle opérationnel des virus informatiques à propagation automatique. En plus de la fonctionnalité d'auto-propagation, le code malveillant inclut également une fonctionnalité de porte dérobée pour fournir un accès à distance au système. Au moment de l’incident, les serveurs de contrôle de porte dérobée (C&C) n’étaient pas actifs.
Au total, lors de l'étude des projets concernés, 4 variantes d'infection ont été identifiées. Dans l'une des options, pour activer la porte dérobée sous Linux, un fichier de démarrage automatique « $HOME/.config/autostart/octo.desktop » a été créé, et sous Windows, des tâches ont été lancées via schtasks pour le lancer. Les autres fichiers créés incluent :
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Bibliothèque/LaunchAgents/AutoUpdater.dat
- $HOME/Bibliothèque/LaunchAgents/AutoUpdater.plist
- $HOME/Bibliothèque/LaunchAgents/SoftwareSync.plist
- $HOME/Bibliothèque/LaunchAgents/Main.class
La porte dérobée pourrait être utilisée pour ajouter des signets au code développé par le développeur, divulguer le code de systèmes propriétaires, voler des données confidentielles et reprendre des comptes. Les chercheurs de GitHub n'excluent pas que les activités malveillantes ne se limitent pas à NetBeans et qu'il puisse exister d'autres variantes d'Octopus Scanner intégrées dans le processus de construction basé sur Make, MsBuild, Gradle et d'autres systèmes pour se propager.
Les noms des projets concernés ne sont pas mentionnés, mais ils peuvent facilement être via une recherche dans GitHub à l’aide du masque « cache.dat ». Parmi les projets dans lesquels des traces d'activités malveillantes ont été trouvées : , , , , , , , , , , , , .
Source: opennet.ru