GitHub Olyan rosszindulatú program, amely a NetBeans IDE-ben lévő projekteket támadja meg, és az összeállítási folyamatot használja önmaga terjesztésére. A vizsgálat kimutatta, hogy az Octopus Scanner névre keresztelt szóban forgó kártevő használatával a hátsó ajtókat rejtetten integrálták 26 nyitott projektbe, amelyeknek tárhelyei voltak a GitHubon. Az Octopus Scanner megnyilvánulásának első nyomai 2018 augusztusára nyúlnak vissza.
A kártevő képes azonosítani a NetBeans projektfájlokat, és kódját hozzáadni a projektfájlokhoz és a lefordított JAR fájlokhoz. A munkaalgoritmus lényege, hogy megkeresi a NetBeans könyvtárat a felhasználó projektjeivel, felsorolja az összes projektet ebben a könyvtárban, és átmásolja a rosszindulatú szkriptet és módosításokat hajt végre a fájlon hogy minden alkalommal meghívja ezt a szkriptet a projekt felépítésekor. Összeállításkor a rosszindulatú program egy példánya bekerül a keletkező JAR-fájlokba, amelyek a további terjesztés forrásává válnak. Például rosszindulatú fájlokat tettek közzé a fent említett 26 nyílt forráskódú projekt tárházában, valamint számos más projektben az új kiadások buildjeinek közzétételekor.
Amikor a fertőzött JAR fájlt egy másik felhasználó letöltötte és elindította, rendszerében újabb NetBeans keresési és rosszindulatú kódok bevezetésének ciklusa kezdődött el, amely megfelel az önszaporodó számítógépes vírusok működési modelljének. A rosszindulatú kód az önterjesztési funkcionalitáson kívül hátsó ajtó funkciót is tartalmaz, amely távoli hozzáférést biztosít a rendszerhez. Az incidens idején a backdoor control (C&C) szerverek nem voltak aktívak.
Összességében az érintett projektek tanulmányozása során a fertőzés 4 változatát azonosították. Az egyik lehetőségnél, a hátsó ajtó aktiválásához Linuxban, egy „$HOME/.config/autostart/octo.desktop” automatikus indítású fájl jött létre, a Windowsban pedig a feladatokat az schtask segítségével indították el az elindításához. További létrehozott fájlok a következők:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
A hátsó ajtó segítségével könyvjelzőket adhatunk a fejlesztő által kifejlesztett kódhoz, szabadalmaztatott rendszerek kódját szivárogtathatjuk ki, bizalmas adatokat lophatunk el és fiókokat vehetünk át. A GitHub kutatói nem zárják ki, hogy a rosszindulatú tevékenység nem korlátozódik a NetBeansre, és az Octopus Scanner más változatai is be vannak ágyazva a Make, MsBuild, Gradle és más rendszereken alapuló összeállítási folyamatba, hogy elterjedjenek.
Az érintett projektek nevét nem említik, de könnyen lehet kereséssel a GitHubban a „cache.dat” maszk használatával. Azon projektek között, amelyekben rosszindulatú tevékenység nyomait találták: , , , , , , , , , , , , .
Forrás: opennet.ru