GitHubの
このマルウェアは NetBeans プロジェクト ファイルを識別し、そのコードをプロジェクト ファイルおよびコンパイルされた JAR ファイルに追加できます。 作業アルゴリズムは、要約すると、ユーザーのプロジェクトが含まれる NetBeans ディレクトリを見つけ、このディレクトリ内のすべてのプロジェクトを列挙し、悪意のあるスクリプトを次の場所にコピーします。
感染した JAR ファイルが別のユーザーによってダウンロードされて起動されると、そのユーザーのシステム上で NetBeans の検索と悪意のあるコードの導入という別のサイクルが始まりました。これは、自己増殖するコンピュータ ウイルスのオペレーティング モデルに相当します。 この悪意のあるコードには、自己伝播機能に加えて、システムへのリモート アクセスを提供するバックドア機能も含まれています。 インシデント発生時、バックドア制御 (C&C) サーバーはアクティブではありませんでした。
影響を受けたプロジェクトを調査したところ、合計 4 つの感染亜種が特定されました。 オプションの XNUMX つでは、Linux でバックドアを有効にするために、自動起動ファイル「$HOME/.config/autostart/octo.desktop」が作成され、Windows ではそれを起動するために schtasks 経由でタスクを起動しました。 作成されるその他のファイルには次のものがあります。
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/ライブラリ/LaunchAgents/AutoUpdater.dat
- $HOME/ライブラリ/LaunchAgents/AutoUpdater.plist
- $HOME/ライブラリ/LaunchAgents/SoftwareSync.plist
- $HOME/ライブラリ/LaunchAgents/Main.class
バックドアは、開発者が開発したコードにブックマークを追加したり、独自システムのコードを漏洩したり、機密データを盗んだり、アカウントを乗っ取ったりするために使用される可能性があります。 GitHub の研究者らは、悪意のあるアクティビティが NetBeans に限定されず、Make、MsBuild、Gradle、およびその他のシステムに基づくビルド プロセスに埋め込まれて拡散する他の Octopus Scanner の亜種が存在する可能性を排除しません。
影響を受けるプロジェクトの名前は言及されていませんが、簡単に影響を受ける可能性があります。
出所: オープンネット.ru