GitHub NetBeans IDE жобаларына шабуыл жасайтын және өзін тарату үшін құрастыру процесін пайдаланатын зиянды бағдарлама. Тергеу Octopus Scanner деп аталған зиянды бағдарламаны пайдаланып, бэкдорлар GitHub репозиторийлері бар 26 ашық жобаға жасырын түрде біріктірілгенін көрсетті. Octopus Scanner көрінісінің алғашқы іздері 2018 жылдың тамызынан басталады.
Зиянды бағдарлама NetBeans жоба файлдарын анықтай алады және оның кодын жоба файлдары мен құрастырылған JAR файлдарына қоса алады. Жұмыс алгоритмі пайдаланушының жобалары бар NetBeans каталогын табуға, осы каталогтағы барлық жобаларды санауға, зиянды сценарийді келесіге көшіруге дейін барады. және файлға өзгертулер енгізу жоба салынған сайын осы сценарийді шақыру. Жиналған кезде зиянды бағдарламаның көшірмесі алынған JAR файлдарына қосылады, олар әрі қарай тарату көзі болады. Мысалы, зиянды файлдар жоғарыда аталған 26 ашық бастапқы жобаның репозиторийлеріне, сондай-ақ жаңа шығарылымдардың жинақтарын жариялау кезінде әртүрлі басқа жобаларға орналастырылған.
Вирус жұққан JAR файлын басқа пайдаланушы жүктеп алып, іске қосқанда, оның жүйесінде NetBeans іздеудің және зиянды кодты енгізудің тағы бір циклі басталды, ол өздігінен таралатын компьютерлік вирустардың операциялық үлгісіне сәйкес келеді. Өзін-өзі тарату функциясынан басқа, зиянды код жүйеге қашықтан қол жеткізуді қамтамасыз ететін бэкдор функциясын да қамтиды. Оқиға кезінде бэкдорды басқару (C&C) серверлері белсенді емес еді.
Барлығы зардап шеккен жобаларды зерттеу кезінде инфекцияның 4 нұсқасы анықталды. Опциялардың бірінде Linux жүйесінде бэкдорды белсендіру үшін «$HOME/.config/autostart/octo.desktop» автобастау файлы жасалды, ал Windows жүйесінде оны іске қосу үшін тапсырмалар schtasks арқылы іске қосылды. Басқа жасалған файлдар мыналарды қамтиды:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Бэкдорды әзірлеуші әзірлеген кодқа бетбелгілер қосу, меншікті жүйелердің кодын шығару, құпия деректерді ұрлау және есептік жазбаларды алу үшін пайдалануға болады. GitHub зерттеушілері зиянды әрекет тек NetBeans-пен шектелмейтінін және өздерін тарату үшін Make, MsBuild, Gradle және басқа жүйелер негізінде құрастыру процесіне енгізілген Octopus сканерінің басқа нұсқалары болуы мүмкін екенін жоққа шығармайды.
Зардап шеккен жобалардың аттары аталмаған, бірақ олар оңай болуы мүмкін GitHub жүйесінде «cache.dat» маскасы арқылы іздеу арқылы. Зиянды әрекеттердің іздері табылған жобалардың ішінде: , , , , , , , , , , , , .
Ақпарат көзі: opennet.ru