GitHub
Il malware è in grado di identificare i file di progetto NetBeans e aggiungere il proprio codice ai file di progetto e ai file JAR compilati. L'algoritmo di lavoro si riduce a trovare la directory NetBeans con i progetti dell'utente, enumerando tutti i progetti in questa directory, copiando lo script dannoso in
Quando il file JAR infetto è stato scaricato e avviato da un altro utente, nel suo sistema è iniziato un altro ciclo di ricerca di NetBeans e di introduzione di codice dannoso, che corrisponde al modello operativo dei virus informatici che si autodiffondono. Oltre alla funzionalità di autopropagazione, il codice dannoso include anche funzionalità backdoor per fornire accesso remoto al sistema. Al momento dell’incidente, i server di controllo backdoor (C&C) non erano attivi.
In totale, studiando i progetti interessati, sono state identificate 4 varianti di infezione. In una delle opzioni, per attivare la backdoor in Linux, è stato creato un file di avvio automatico "$HOME/.config/autostart/octo.desktop" e in Windows le attività sono state avviate tramite schtasks per avviarlo. Altri file creati includono:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Libreria/LaunchAgents/AutoUpdater.dat
- $HOME/Libreria/LaunchAgents/AutoUpdater.plist
- $HOME/Libreria/LaunchAgents/SoftwareSync.plist
- $HOME/Libreria/LaunchAgents/Main.class
La backdoor potrebbe essere utilizzata per aggiungere segnalibri al codice sviluppato dallo sviluppatore, divulgare codici di sistemi proprietari, rubare dati riservati e impossessarsi di account. I ricercatori di GitHub non escludono che l'attività dannosa non sia limitata a NetBeans e che potrebbero esserci altre varianti di Octopus Scanner integrate nel processo di creazione basato su Make, MsBuild, Gradle e altri sistemi per diffondersi.
I nomi dei progetti interessati non vengono menzionati, ma possono facilmente esserlo
Fonte: opennet.ru