GitHub
Le malware est capable d'identifier les fichiers de projet NetBeans et d'ajouter son code aux fichiers de projet et aux fichiers JAR compilés. L'algorithme de travail se résume à trouver le répertoire NetBeans avec les projets de l'utilisateur, à énumérer tous les projets de ce répertoire, à copier le script malveillant dans
Lorsque le fichier JAR infecté a été téléchargé et lancé par un autre utilisateur, un autre cycle de recherche de NetBeans et d'introduction de code malveillant a commencé sur son système, ce qui correspond au modèle opérationnel des virus informatiques à propagation automatique. En plus de la fonctionnalité d'auto-propagation, le code malveillant inclut également une fonctionnalité de porte dérobée pour fournir un accès à distance au système. Au moment de l’incident, les serveurs de contrôle de porte dérobée (C&C) n’étaient pas actifs.
Au total, lors de l'étude des projets concernés, 4 variantes d'infection ont été identifiées. Dans l'une des options, pour activer la porte dérobée sous Linux, un fichier de démarrage automatique « $HOME/.config/autostart/octo.desktop » a été créé, et sous Windows, des tâches ont été lancées via schtasks pour le lancer. Les autres fichiers créés incluent :
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Bibliothèque/LaunchAgents/AutoUpdater.dat
- $HOME/Bibliothèque/LaunchAgents/AutoUpdater.plist
- $HOME/Bibliothèque/LaunchAgents/SoftwareSync.plist
- $HOME/Bibliothèque/LaunchAgents/Main.class
La porte dérobée pourrait être utilisée pour ajouter des signets au code développé par le développeur, divulguer le code de systèmes propriétaires, voler des données confidentielles et reprendre des comptes. Les chercheurs de GitHub n'excluent pas que les activités malveillantes ne se limitent pas à NetBeans et qu'il puisse exister d'autres variantes d'Octopus Scanner intégrées dans le processus de construction basé sur Make, MsBuild, Gradle et d'autres systèmes pour se propager.
Les noms des projets concernés ne sont pas mentionnés, mais ils peuvent facilement être
Source: opennet.ru