Չարամիտ ծրագիր, որը հարձակվում է NetBeans-ի վրա՝ ներկառուցված նախագծերի մեջ հետին դռներ ներարկելու համար

GitHub բացահայտված Չարամիտ ծրագիր, որը հարձակվում է NetBeans IDE-ի նախագծերի վրա և օգտագործում է կառուցման գործընթացը ինքն իրեն տարածելու համար: Հետաքննությունը ցույց է տվել, որ օգտագործելով խնդրո առարկա չարամիտ ծրագիրը, որին տրվել է Octopus Scanner անունը, հետնախորշերը գաղտնի կերպով ինտեգրվել են 26 բաց նախագծերի՝ GitHub-ի պահոցներով: Ութոտնուկի սկաների դրսևորման առաջին հետքերը վերաբերում են 2018 թվականի օգոստոսին։

Չարամիտ ծրագիրն ի վիճակի է նույնականացնել NetBeans նախագծի ֆայլերը և ավելացնել իր կոդը նախագծի ֆայլերին և կազմված JAR ֆայլերին: Աշխատանքային ալգորիթմը հանգում է նրան, որ գտնեք NetBeans գրացուցակը օգտվողի նախագծերով, թվարկեք այս գրացուցակի բոլոր նախագծերը, պատճենեք վնասակար սցենարը nbproject/cache.dat և փոփոխություններ կատարել ֆայլում nbproject/build-impl.xml զանգահարել այս սցենարը ամեն անգամ, երբ նախագիծը կառուցվում է: Երբ հավաքվում է, չարամիտ ծրագրի պատճենը ներառվում է ստացված JAR ֆայլերում, որոնք դառնում են հետագա տարածման աղբյուր։ Օրինակ՝ վնասակար ֆայլերը տեղադրվել են վերոնշյալ 26 բաց կոդով նախագծերի, ինչպես նաև տարբեր այլ նախագծերի պահեստներում՝ նոր թողարկումների բիլդներ հրապարակելիս։

Երբ վարակված JAR ֆայլը ներբեռնվեց և գործարկվեց մեկ այլ օգտատիրոջ կողմից, նրա համակարգում սկսվեց NetBeans-ի որոնման և վնասակար կոդի ներդրման հերթական շրջանը, որը համապատասխանում է համակարգչային վիրուսների ինքնատարածման գործող մոդելին: Ի լրումն ինքնատարածման ֆունկցիոնալության, վնասակար կոդը ներառում է նաև հետնախորշի գործառույթ՝ համակարգին հեռահար մուտք ապահովելու համար: Միջադեպի պահին հետևի դռների կառավարման (C&C) սերվերներն ակտիվ չեն եղել:

Ընդհանուր առմամբ, տուժած նախագծերն ուսումնասիրելիս հայտնաբերվել է վարակի 4 տարբերակ։ Ընտրանքներից մեկում՝ Linux-ում ետնադուռն ակտիվացնելու համար, ստեղծվել է «$HOME/.config/autostart/octo.desktop» autostart ֆայլը, իսկ Windows-ում առաջադրանքները գործարկվել են schtasks-ի միջոցով՝ այն գործարկելու համար։ Ստեղծված այլ ֆայլեր ներառում են.

• $HOME/.local/share/bbauto
• $HOME/.config/autostart/none.desktop
• $HOME/.config/autostart/.desktop
• $HOME/.local/share/Main.class
• $HOME/Library/LaunchAgents/AutoUpdater.dat
• $HOME/Library/LaunchAgents/AutoUpdater.plist
• $HOME/Library/LaunchAgents/SoftwareSync.plist
• $HOME/Library/LaunchAgents/Main.class

Հետևի դուռը կարող է օգտագործվել ծրագրավորողի կողմից մշակված ծածկագրին էջանիշեր ավելացնելու, սեփականության համակարգերի կոդի արտահոսքի, գաղտնի տվյալներ գողանալու և հաշիվները տիրանալու համար: GitHub-ի հետազոտողները չեն բացառում, որ վնասակար գործունեությունը չի սահմանափակվում միայն NetBeans-ով, և կարող են լինել Octopus Scanner-ի այլ տարբերակներ, որոնք ներդրված են կառուցման գործընթացում՝ հիմնված Make, MsBuild, Gradle և այլ համակարգերի վրա՝ իրենց տարածման համար:

Ազդեցության ենթարկված նախագծերի անունները չեն նշվում, բայց դրանք հեշտությամբ կարող են լինել գտնել GitHub-ում որոնման միջոցով՝ օգտագործելով «cache.dat» դիմակը: Այն նախագծերից, որոնցում հայտնաբերվել են վնասակար գործունեության հետքեր. V2Mp3Player, JavaPacman, Kosim-Framework, Punto de Venta, 2D-Ֆիզիկա-սիմուլյացիաներ, PacmanGame, GuessThe Animal, SnakeCenterBox4, Secuencia Numerica, Հեռախոսակապի կենտրոն, ProyectoGerundio, pacman-java_ia, SuperMario-FR-.

Source: opennet.ru