GitHub Logiciels ki atake pwojè yo nan NetBeans IDE epi ki sèvi ak pwosesis konstriksyon pou gaye tèt li. Ankèt la te montre ke lè l sèvi avèk malveyan an kesyon an, ki te bay non Octopus Scanner, backdoor yo te kache nan 26 pwojè louvri ak depo sou GitHub. Premye tras manifestasyon Octopus Scanner la date nan mwa Out 2018.
Malveyan an kapab idantifye dosye pwojè NetBeans epi ajoute kòd li nan dosye pwojè yo ak fichye JAR konpile. Algorithm travay la se jwenn anyè NetBeans ak pwojè itilizatè a, enumere tout pwojè nan anyè sa a, kopye script move a nan epi fè chanjman nan dosye a pou rele script sa a chak fwa pwojè a konstwi. Lè yo rasanble, yon kopi malveyan yo enkli nan dosye JAR ki lakòz yo, ki vin tounen yon sous distribisyon plis. Pou egzanp, fichye move yo te afiche nan repozitwa yo nan 26 pwojè sous louvri yo mansyone pi wo a, osi byen ke divès lòt pwojè lè yo pibliye bati nouvo degaje yo.
Lè yon lòt itilizatè te telechaje ak lanse dosye JAR ki enfekte a, yon lòt sik nan rechèch NetBeans ak entwodwi kòd move te kòmanse sou sistèm li a, ki koresponn ak modèl operasyon an nan pwòp tèt ou-pwopagasyon viris òdinatè. Anplis fonksyonalite pwòp tèt ou-pwopagasyon, kòd move a gen ladan tou fonksyonalite backdoor pou bay aksè aleka nan sistèm nan. Nan moman ensidan an, sèvè kontwòl backdoor (C&C) yo pa t aktif.
An total, lè etidye pwojè ki afekte yo, yo te idantifye 4 varyant enfeksyon. Nan youn nan opsyon yo, pou aktive backdoor a nan Linux, yo te kreye yon fichye autostart "$HOME/.config/autostart/octo.desktop", epi nan Windows, travay yo te lanse atravè schtasks pou lanse li. Lòt dosye ki te kreye yo enkli:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Bibliyotèk/LaunchAgents/AutoUpdater.dat
- $HOME/Bibliyotèk/LaunchAgents/AutoUpdater.plist
- $HOME/Bibliyotèk/LaunchAgents/SoftwareSync.plist
- $HOME/Bibliyotèk/LaunchAgents/Main.class
Yo ta ka itilize deyè pòt la pou ajoute signets nan kòd devlope pa pwomotè a, koule kòd nan sistèm propriétaires, vòlè done konfidansyèl ak pran sou kont. Chèchè ki soti nan GitHub pa ekskli ke aktivite move pa limite a NetBeans epi ka gen lòt varyant nan Octopus Scanner ki entegre nan pwosesis la bati ki baze sou Make, MsBuild, Gradle ak lòt sistèm yo gaye tèt yo.
Non pwojè ki afekte yo pa mansyone, men yo ka fasilman atravè yon rechèch nan GitHub lè l sèvi avèk mask "cache.dat". Pami pwojè kote yo te jwenn tras aktivite move: , , , , , , , , , , , , .
Sous: opennet.ru