GitHub Malware yang menyerang proyek di NetBeans IDE dan menggunakan proses pembangunan untuk menyebarkan dirinya. Investigasi menunjukkan bahwa dengan menggunakan malware yang dimaksud, yang diberi nama Octopus Scanner, pintu belakang diintegrasikan secara diam-diam ke dalam 26 proyek terbuka dengan repositori di GitHub. Jejak pertama manifestasi Octopus Scanner berasal dari Agustus 2018.
Malware ini mampu mengidentifikasi file proyek NetBeans dan menambahkan kodenya ke file proyek dan mengkompilasi file JAR. Algoritme kerja intinya adalah menemukan direktori NetBeans dengan proyek pengguna, menghitung semua proyek di direktori ini, menyalin skrip berbahaya ke dan membuat perubahan pada file untuk memanggil skrip ini setiap kali proyek dibuat. Saat dirakit, salinan malware disertakan dalam file JAR yang dihasilkan, yang menjadi sumber distribusi lebih lanjut. Misalnya, file berbahaya diposting ke repositori 26 proyek sumber terbuka yang disebutkan di atas, serta berbagai proyek lainnya saat menerbitkan versi rilis baru.
Ketika file JAR yang terinfeksi diunduh dan diluncurkan oleh pengguna lain, siklus pencarian NetBeans dan memasukkan kode berbahaya dimulai di sistemnya, yang sesuai dengan model operasi virus komputer yang menyebar sendiri. Selain fungsi propagasi mandiri, kode berbahaya juga menyertakan fungsi pintu belakang untuk menyediakan akses jarak jauh ke sistem. Pada saat kejadian, server kontrol pintu belakang (C&C) tidak aktif.
Secara total, ketika mempelajari proyek yang terkena dampak, 4 varian infeksi diidentifikasi. Dalam salah satu opsi, untuk mengaktifkan pintu belakang di Linux, file autostart β$HOME/.config/autostart/octo.desktopβ telah dibuat, dan di Windows, tugas diluncurkan melalui schtasks untuk meluncurkannya. File lain yang dibuat meliputi:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Perpustakaan/Agen Peluncuran/AutoUpdater.dat
- $HOME/Perpustakaan/Agen Peluncuran/AutoUpdater.plist
- $HOME/Perpustakaan/Agen Peluncuran/SoftwareSync.plist
- $HOME/Perpustakaan/Agen Peluncuran/Main.class
Pintu belakang dapat digunakan untuk menambahkan bookmark ke kode yang dikembangkan oleh pengembang, membocorkan kode sistem kepemilikan, mencuri data rahasia, dan mengambil alih akun. Peneliti dari GitHub tidak mengesampingkan bahwa aktivitas jahat tidak terbatas pada NetBeans dan mungkin ada varian lain dari Octopus Scanner yang tertanam dalam proses pembangunan berdasarkan Make, MsBuild, Gradle, dan sistem lain untuk menyebarkan dirinya.
Nama-nama proyek yang terkena dampak tidak disebutkan, namun dapat dengan mudah disebutkan melalui pencarian di GitHub menggunakan topeng βcache.datβ. Di antara proyek-proyek yang ditemukan jejak aktivitas jahat: , , , , , , , , , , , , .
Sumber: opennet.ru