GitHub
Zlonamjerni softver može identificirati NetBeans projektne datoteke i dodati svoj kod u projektne datoteke i kompilirane JAR datoteke. Algoritam rada svodi se na pronalaženje NetBeans direktorija s projektima korisnika, nabrajanje svih projekata u tom direktoriju, kopiranje zlonamjerne skripte u
Kada je drugi korisnik preuzeo i pokrenuo zaraženu JAR datoteku, na njegovom sustavu je započeo još jedan ciklus traženja NetBeansa i unošenja malicioznog koda, što odgovara modelu rada samorazmnožavajućih računalnih virusa. Uz funkcionalnost samopropagiranja, zlonamjerni kod također uključuje backdoor funkcionalnost za pružanje udaljenog pristupa sustavu. U vrijeme incidenta serveri za backdoor kontrolu (C&C) nisu bili aktivni.
Ukupno, pri proučavanju zahvaćenih projekata, identificirane su 4 varijante infekcije. U jednoj od opcija, za aktiviranje backdoora u Linuxu, kreirana je autostart datoteka “$HOME/.config/autostart/octo.desktop”, a u Windowsima su se pokretali zadaci preko schtasks za njeno pokretanje. Ostale stvorene datoteke uključuju:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Stražnja vrata mogu se koristiti za dodavanje knjižnih oznaka kodu koji je razvio programer, curenje koda vlasničkih sustava, krađu povjerljivih podataka i preuzimanje računa. Istraživači iz GitHuba ne isključuju da zlonamjerna aktivnost nije ograničena na NetBeans i da mogu postojati druge varijante Octopus Scannera koje su ugrađene u proces izgradnje temeljene na Make, MsBuild, Gradle i drugim sustavima kako bi se same širile.
Imena zahvaćenih projekata nisu spomenuta, ali se lako mogu spomenuti
Izvor: opennet.ru