GitHub
Malware ini mampu mengidentifikasi file proyek NetBeans dan menambahkan kodenya ke file proyek dan mengkompilasi file JAR. Algoritme kerja intinya adalah menemukan direktori NetBeans dengan proyek pengguna, menghitung semua proyek di direktori ini, menyalin skrip berbahaya ke
Ketika file JAR yang terinfeksi diunduh dan diluncurkan oleh pengguna lain, siklus pencarian NetBeans dan memasukkan kode berbahaya dimulai di sistemnya, yang sesuai dengan model operasi virus komputer yang menyebar sendiri. Selain fungsi propagasi mandiri, kode berbahaya juga menyertakan fungsi pintu belakang untuk menyediakan akses jarak jauh ke sistem. Pada saat kejadian, server kontrol pintu belakang (C&C) tidak aktif.
Secara total, ketika mempelajari proyek yang terkena dampak, 4 varian infeksi diidentifikasi. Dalam salah satu opsi, untuk mengaktifkan pintu belakang di Linux, file autostart β$HOME/.config/autostart/octo.desktopβ telah dibuat, dan di Windows, tugas diluncurkan melalui schtasks untuk meluncurkannya. File lain yang dibuat meliputi:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Perpustakaan/Agen Peluncuran/AutoUpdater.dat
- $HOME/Perpustakaan/Agen Peluncuran/AutoUpdater.plist
- $HOME/Perpustakaan/Agen Peluncuran/SoftwareSync.plist
- $HOME/Perpustakaan/Agen Peluncuran/Main.class
Pintu belakang dapat digunakan untuk menambahkan bookmark ke kode yang dikembangkan oleh pengembang, membocorkan kode sistem kepemilikan, mencuri data rahasia, dan mengambil alih akun. Peneliti dari GitHub tidak mengesampingkan bahwa aktivitas jahat tidak terbatas pada NetBeans dan mungkin ada varian lain dari Octopus Scanner yang tertanam dalam proses pembangunan berdasarkan Make, MsBuild, Gradle, dan sistem lain untuk menyebarkan dirinya.
Nama-nama proyek yang terkena dampak tidak disebutkan, namun dapat dengan mudah disebutkan
Sumber: opennet.ru