GitHub Zlonamjerni softver koji napada projekte u NetBeans IDE-u i koristi se procesom izgradnje za širenje. Istraga je pokazala da su pomoću predmetnog zlonamjernog softvera, koji je dobio naziv Octopus Scanner, pozadinska vrata prikriveno integrirana u 26 otvorenih projekata s repozitorijima na GitHubu. Prvi tragovi manifestacije Octopus Scanner datiraju iz kolovoza 2018. godine.
Zlonamjerni softver može identificirati NetBeans projektne datoteke i dodati svoj kod u projektne datoteke i kompilirane JAR datoteke. Algoritam rada svodi se na pronalaženje NetBeans direktorija s projektima korisnika, nabrajanje svih projekata u tom direktoriju, kopiranje zlonamjerne skripte u i unošenje izmjena u datoteku za pozivanje ove skripte svaki put kada se projekt izgradi. Kada se sastavi, kopija zlonamjernog softvera uključuje se u rezultirajuće JAR datoteke, koje postaju izvor daljnje distribucije. Na primjer, zlonamjerne datoteke objavljene su u repozitoriju gore spomenutih 26 projekata otvorenog koda, kao i raznih drugih projekata prilikom objavljivanja nadogradnji novih izdanja.
Kada je drugi korisnik preuzeo i pokrenuo zaraženu JAR datoteku, na njegovom sustavu je započeo još jedan ciklus traženja NetBeansa i unošenja malicioznog koda, što odgovara modelu rada samorazmnožavajućih računalnih virusa. Uz funkcionalnost samopropagiranja, zlonamjerni kod također uključuje backdoor funkcionalnost za pružanje udaljenog pristupa sustavu. U vrijeme incidenta serveri za backdoor kontrolu (C&C) nisu bili aktivni.
Ukupno, pri proučavanju zahvaćenih projekata, identificirane su 4 varijante infekcije. U jednoj od opcija, za aktiviranje backdoora u Linuxu, kreirana je autostart datoteka “$HOME/.config/autostart/octo.desktop”, a u Windowsima su se pokretali zadaci preko schtasks za njeno pokretanje. Ostale stvorene datoteke uključuju:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Stražnja vrata mogu se koristiti za dodavanje knjižnih oznaka kodu koji je razvio programer, curenje koda vlasničkih sustava, krađu povjerljivih podataka i preuzimanje računa. Istraživači iz GitHuba ne isključuju da zlonamjerna aktivnost nije ograničena na NetBeans i da mogu postojati druge varijante Octopus Scannera koje su ugrađene u proces izgradnje temeljene na Make, MsBuild, Gradle i drugim sustavima kako bi se same širile.
Imena zahvaćenih projekata nisu spomenuta, ali se lako mogu spomenuti pretraživanjem u GitHubu pomoću maske "cache.dat". Među projektima u kojima su pronađeni tragovi zlonamjerne aktivnosti: , , , , , , , , , , , , .
Izvor: opennet.ru