GitHub
A kártevő képes azonosítani a NetBeans projektfájlokat, és kódját hozzáadni a projektfájlokhoz és a lefordított JAR fájlokhoz. A munkaalgoritmus lényege, hogy megkeresi a NetBeans könyvtárat a felhasználó projektjeivel, felsorolja az összes projektet ebben a könyvtárban, és átmásolja a rosszindulatú szkriptet
Amikor a fertőzött JAR fájlt egy másik felhasználó letöltötte és elindította, rendszerében újabb NetBeans keresési és rosszindulatú kódok bevezetésének ciklusa kezdődött el, amely megfelel az önszaporodó számítógépes vírusok működési modelljének. A rosszindulatú kód az önterjesztési funkcionalitáson kívül hátsó ajtó funkciót is tartalmaz, amely távoli hozzáférést biztosít a rendszerhez. Az incidens idején a backdoor control (C&C) szerverek nem voltak aktívak.
Összességében az érintett projektek tanulmányozása során a fertőzés 4 változatát azonosították. Az egyik lehetőségnél, a hátsó ajtó aktiválásához Linuxban, egy „$HOME/.config/autostart/octo.desktop” automatikus indítású fájl jött létre, a Windowsban pedig a feladatokat az schtask segítségével indították el az elindításához. További létrehozott fájlok a következők:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
A hátsó ajtó segítségével könyvjelzőket adhatunk a fejlesztő által kifejlesztett kódhoz, szabadalmaztatott rendszerek kódját szivárogtathatjuk ki, bizalmas adatokat lophatunk el és fiókokat vehetünk át. A GitHub kutatói nem zárják ki, hogy a rosszindulatú tevékenység nem korlátozódik a NetBeansre, és az Octopus Scanner más változatai is be vannak ágyazva a Make, MsBuild, Gradle és más rendszereken alapuló összeállítási folyamatba, hogy elterjedjenek.
Az érintett projektek nevét nem említik, de könnyen lehet
Forrás: opennet.ru