GitHubの NetBeans IDE 内のプロジェクトを攻撃し、ビルド プロセスを使用して自身を拡散するマルウェア。 調査の結果、Octopus Scanner という名前が付けられた問題のマルウェアを使用して、GitHub 上のリポジトリを持つ 26 のオープン プロジェクトにバックドアが密かに統合されていたことが判明しました。 Octopus Scanner の出現の最初の痕跡は 2018 年 XNUMX 月に遡ります。
このマルウェアは NetBeans プロジェクト ファイルを識別し、そのコードをプロジェクト ファイルおよびコンパイルされた JAR ファイルに追加できます。 作業アルゴリズムは、要約すると、ユーザーのプロジェクトが含まれる NetBeans ディレクトリを見つけ、このディレクトリ内のすべてのプロジェクトを列挙し、悪意のあるスクリプトを次の場所にコピーします。 ファイルに変更を加える プロジェクトがビルドされるたびにこのスクリプトを呼び出します。 アセンブルされると、マルウェアのコピーが結果の JAR ファイルに含まれ、それがさらなる配布のソースになります。 たとえば、悪意のあるファイルは、新しいリリースのビルドを公開する際に、上記の 26 のオープンソース プロジェクトのほか、他のさまざまなプロジェクトのリポジトリに投稿されました。
感染した JAR ファイルが別のユーザーによってダウンロードされて起動されると、そのユーザーのシステム上で NetBeans の検索と悪意のあるコードの導入という別のサイクルが始まりました。これは、自己増殖するコンピュータ ウイルスのオペレーティング モデルに相当します。 この悪意のあるコードには、自己伝播機能に加えて、システムへのリモート アクセスを提供するバックドア機能も含まれています。 インシデント発生時、バックドア制御 (C&C) サーバーはアクティブではありませんでした。
影響を受けたプロジェクトを調査したところ、合計 4 つの感染亜種が特定されました。 オプションの XNUMX つでは、Linux でバックドアを有効にするために、自動起動ファイル「$HOME/.config/autostart/octo.desktop」が作成され、Windows ではそれを起動するために schtasks 経由でタスクを起動しました。 作成されるその他のファイルには次のものがあります。
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/ライブラリ/LaunchAgents/AutoUpdater.dat
- $HOME/ライブラリ/LaunchAgents/AutoUpdater.plist
- $HOME/ライブラリ/LaunchAgents/SoftwareSync.plist
- $HOME/ライブラリ/LaunchAgents/Main.class
バックドアは、開発者が開発したコードにブックマークを追加したり、独自システムのコードを漏洩したり、機密データを盗んだり、アカウントを乗っ取ったりするために使用される可能性があります。 GitHub の研究者らは、悪意のあるアクティビティが NetBeans に限定されず、Make、MsBuild、Gradle、およびその他のシステムに基づくビルド プロセスに埋め込まれて拡散する他の Octopus Scanner の亜種が存在する可能性を排除しません。
影響を受けるプロジェクトの名前は言及されていませんが、簡単に影響を受ける可能性があります。 「cache.dat」マスクを使用して GitHub で検索します。 悪意のある活動の痕跡が見つかったプロジェクトには次のようなものがあります。 , , , , , , , , , , , , .
出所: オープンネット.ru