GitHub
O malware é capaz de identificar os ficheiros do proxecto NetBeans e engadir o seu código aos ficheiros do proxecto e aos ficheiros JAR compilados. O algoritmo de traballo redúcese a atopar o directorio NetBeans cos proxectos do usuario, enumerar todos os proxectos deste directorio, copiar o script malicioso a
Cando o ficheiro JAR infectado foi descargado e lanzado por outro usuario, comezou outro ciclo de busca de NetBeans e introdución de código malicioso no seu sistema, que se corresponde co modelo operativo dos virus informáticos de autopropagación. Ademais da funcionalidade de autopropagación, o código malicioso tamén inclúe a funcionalidade de porta traseira para proporcionar acceso remoto ao sistema. No momento do incidente, os servidores de control de porta traseira (C&C) non estaban activos.
En total, ao estudar os proxectos afectados identificáronse 4 variantes de infección. Nunha das opcións, para activar a porta traseira en Linux, creouse un ficheiro de inicio automático “$HOME/.config/autostart/octo.desktop” e en Windows lanzáronse tarefas a través de schtasks para lanzalo. Outros ficheiros creados inclúen:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Biblioteca/LaunchAgents/AutoUpdater.dat
- $HOME/Biblioteca/LaunchAgents/AutoUpdater.plist
- $HOME/Biblioteca/LaunchAgents/SoftwareSync.plist
- $HOME/Biblioteca/LaunchAgents/Main.class
A porta traseira podería usarse para engadir marcadores ao código desenvolvido polo programador, filtrar código de sistemas propietarios, roubar datos confidenciais e facerse cargo de contas. Os investigadores de GitHub non descartan que a actividade maliciosa non se limite a NetBeans e pode haber outras variantes de Octopus Scanner que estean integradas no proceso de construción baseado en Make, MsBuild, Gradle e outros sistemas para espallarse.
Non se mencionan os nomes dos proxectos afectados, pero poden facelo facilmente
Fonte: opennet.ru