GitHub Spilliforrit sem ræðst á verkefni í NetBeans IDE og notar byggingarferlið til að dreifa sér. Rannsóknin sýndi að með því að nota umræddan spilliforrit, sem fékk nafnið Octopus Scanner, voru bakdyr samþættar leynilega í 26 opin verkefni með geymslum á GitHub. Fyrstu ummerki um Octopus Scanner birtingarmyndina ná aftur til ágúst 2018.
Spilliforritið er fær um að bera kennsl á NetBeans verkefnisskrár og bæta kóða sínum við verkefnisskrárnar og samansettar JAR skrár. Vinnualgrímið snýst um að finna NetBeans möppuna með verkefnum notandans, telja upp öll verkefni í þessari möppu, afrita illgjarna forskriftina til og gera breytingar á skránni að kalla þetta handrit í hvert sinn sem verkefnið er byggt. Þegar það er sett saman er afrit af spilliforritinu innifalið í JAR skránum sem myndast, sem verða uppspretta frekari dreifingar. Til dæmis voru illgjarnar skrár settar á geymslur ofangreindra 26 opinna verkefna, auk ýmissa annarra verkefna við útgáfu nýrra útgáfur.
Þegar annar notandi hlaðið niður og ræsti sýktu JAR skrána, hófst önnur lota þar sem leitað var að NetBeans og innleiðing á illgjarn kóða á kerfi hans, sem samsvarar rekstrarlíkani sjálfdreifandi tölvuvírusa. Til viðbótar við sjálfsútbreiðsluvirkni inniheldur illgjarn kóðinn einnig bakdyravirkni til að veita fjaraðgang að kerfinu. Þegar atvikið átti sér stað voru bakdyrastjórnunarþjónar (C&C) ekki virkir.
Alls voru 4 afbrigði sýkingar auðkennd við rannsókn á viðkomandi verkefnum. Í einum af valmöguleikunum, til að virkja bakdyrnar í Linux, var sjálfvirk ræsingarskrá „$HOME/.config/autostart/octo.desktop“ búin til og í Windows voru verkefni ræst í gegnum schtasks til að ræsa hana. Aðrar skrár búnar til eru:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Hægt væri að nota bakdyrnar til að bæta bókamerkjum við kóðann sem þróaði þróaði, leka kóða sérkerfa, stela trúnaðargögnum og taka yfir reikninga. Vísindamenn frá GitHub útiloka ekki að illgjarn virkni sé ekki takmörkuð við NetBeans og það gætu verið önnur afbrigði af Octopus Scanner sem eru felld inn í byggingarferlið byggt á Make, MsBuild, Gradle og öðrum kerfum til að dreifa sér.
Nöfn þeirra verkefna sem verða fyrir áhrifum eru ekki nefnd en þau geta auðveldlega verið það í gegnum leit í GitHub með því að nota „cache.dat“ grímuna. Meðal verkefna þar sem leifar af illgjarnri starfsemi fundust: , , , , , , , , , , , , .
Heimild: opennet.ru