GitHub Malware che attacca i progetti nell'IDE NetBeans e utilizza il processo di creazione per diffondersi. Dall'indagine è emerso che con il malware in questione, denominato Octopus Scanner, sono state integrate di nascosto delle backdoor in 26 progetti aperti con repository su GitHub. Le prime tracce della manifestazione Octopus Scanner risalgono all'agosto 2018.
Il malware è in grado di identificare i file di progetto NetBeans e aggiungere il proprio codice ai file di progetto e ai file JAR compilati. L'algoritmo di lavoro si riduce a trovare la directory NetBeans con i progetti dell'utente, enumerando tutti i progetti in questa directory, copiando lo script dannoso in e apportare modifiche al file per chiamare questo script ogni volta che il progetto viene creato. Una volta assemblato, una copia del malware viene inclusa nei file JAR risultanti, che diventano una fonte di ulteriore distribuzione. Ad esempio, durante la pubblicazione di build di nuove versioni sono stati pubblicati file dannosi nei repository dei 26 progetti open source sopra menzionati e in vari altri progetti.
Quando il file JAR infetto è stato scaricato e avviato da un altro utente, nel suo sistema è iniziato un altro ciclo di ricerca di NetBeans e di introduzione di codice dannoso, che corrisponde al modello operativo dei virus informatici che si autodiffondono. Oltre alla funzionalità di autopropagazione, il codice dannoso include anche funzionalità backdoor per fornire accesso remoto al sistema. Al momento dell’incidente, i server di controllo backdoor (C&C) non erano attivi.
In totale, studiando i progetti interessati, sono state identificate 4 varianti di infezione. In una delle opzioni, per attivare la backdoor in Linux, è stato creato un file di avvio automatico "$HOME/.config/autostart/octo.desktop" e in Windows le attività sono state avviate tramite schtasks per avviarlo. Altri file creati includono:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Libreria/LaunchAgents/AutoUpdater.dat
- $HOME/Libreria/LaunchAgents/AutoUpdater.plist
- $HOME/Libreria/LaunchAgents/SoftwareSync.plist
- $HOME/Libreria/LaunchAgents/Main.class
La backdoor potrebbe essere utilizzata per aggiungere segnalibri al codice sviluppato dallo sviluppatore, divulgare codici di sistemi proprietari, rubare dati riservati e impossessarsi di account. I ricercatori di GitHub non escludono che l'attività dannosa non sia limitata a NetBeans e che potrebbero esserci altre varianti di Octopus Scanner integrate nel processo di creazione basato su Make, MsBuild, Gradle e altri sistemi per diffondersi.
I nomi dei progetti interessati non vengono menzionati, ma possono facilmente esserlo attraverso una ricerca in GitHub utilizzando la maschera “cache.dat”. Tra i progetti in cui sono state trovate tracce di attività dannose: , , , , , , , , , , , , .
Fonte: opennet.ru