GitHub Malware que ataca proxectos no IDE NetBeans e utiliza o proceso de compilación para estenderse. A investigación mostrou que usando o malware en cuestión, que recibiu o nome de Octopus Scanner, as portas traseiras integráronse encubertamente en 26 proxectos abertos con repositorios en GitHub. Os primeiros rastros da manifestación Octopus Scanner remóntanse a agosto de 2018.
O malware é capaz de identificar os ficheiros do proxecto NetBeans e engadir o seu código aos ficheiros do proxecto e aos ficheiros JAR compilados. O algoritmo de traballo redúcese a atopar o directorio NetBeans cos proxectos do usuario, enumerar todos os proxectos deste directorio, copiar o script malicioso a e facer cambios no ficheiro para chamar a este script cada vez que se constrúe o proxecto. Cando se monta, inclúese unha copia do malware nos ficheiros JAR resultantes, que se converten nunha fonte de distribución posterior. Por exemplo, os ficheiros maliciosos foron publicados nos repositorios dos 26 proxectos de código aberto mencionados anteriormente, así como outros proxectos cando se publicaban compilacións de novas versións.
Cando o ficheiro JAR infectado foi descargado e lanzado por outro usuario, comezou outro ciclo de busca de NetBeans e introdución de código malicioso no seu sistema, que se corresponde co modelo operativo dos virus informáticos de autopropagación. Ademais da funcionalidade de autopropagación, o código malicioso tamén inclúe a funcionalidade de porta traseira para proporcionar acceso remoto ao sistema. No momento do incidente, os servidores de control de porta traseira (C&C) non estaban activos.
En total, ao estudar os proxectos afectados identificáronse 4 variantes de infección. Nunha das opcións, para activar a porta traseira en Linux, creouse un ficheiro de inicio automático “$HOME/.config/autostart/octo.desktop” e en Windows lanzáronse tarefas a través de schtasks para lanzalo. Outros ficheiros creados inclúen:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Biblioteca/LaunchAgents/AutoUpdater.dat
- $HOME/Biblioteca/LaunchAgents/AutoUpdater.plist
- $HOME/Biblioteca/LaunchAgents/SoftwareSync.plist
- $HOME/Biblioteca/LaunchAgents/Main.class
A porta traseira podería usarse para engadir marcadores ao código desenvolvido polo programador, filtrar código de sistemas propietarios, roubar datos confidenciais e facerse cargo de contas. Os investigadores de GitHub non descartan que a actividade maliciosa non se limite a NetBeans e pode haber outras variantes de Octopus Scanner que estean integradas no proceso de construción baseado en Make, MsBuild, Gradle e outros sistemas para espallarse.
Non se mencionan os nomes dos proxectos afectados, pero poden facelo facilmente mediante unha busca en GitHub usando a máscara "cache.dat". Entre os proxectos nos que se atoparon vestixios de actividade maliciosa: , , , , , , , , , , , , .
Fonte: opennet.ru