GitHub Malware ku êrîşî projeyên li NetBeans IDE dike û pêvajoya çêkirinê bikar tîne da ku xwe belav bike. Vekolînê destnîşan kir ku bi karanîna malwareya navborî, ku navê Octopus Scanner jê re hat dayîn, paşperdeyan bi veşartî di nav 26 projeyên vekirî yên bi depoyên li ser GitHub de hatine yek kirin. Yekem şopên diyardeya Octopus Scanner ji Tebaxa 2018-an vedigere.
Malware dikare pelên projeya NetBeans nas bike û koda xwe li pelên projeyê û pelên JAR ên berhevkirî zêde bike. Algorîtmaya xebatê bi dîtina pelrêça NetBeans bi projeyên bikarhêner re, hejmartina hemî projeyên di vê pelrêçayê de, kopîkirina skrîpta xerab li û di pelê de guhertinan çêbikin ku her carê ku proje tê çêkirin bangî vê senaryoyê bike. Dema ku têne civandin, kopiyek malware di pelên JAR-ê yên encam de, ku dibin çavkaniyek belavkirina bêtir tê de heye. Mînakî, pelên xerab li depoyên jorîn 26 projeyên çavkaniya vekirî, û her weha projeyên cihêreng ên din dema ku avahîyên weşanên nû weşandin, hatin şandin.
Dema ku pelê JAR-a vegirtî ji hêla bikarhênerek din ve hate dakêşandin û destpêkirin, çerxek din a lêgerîna NetBeans û danasîna koda xirab li ser pergala wî dest pê kir, ku bi modela xebitandinê ya vîrusên komputerê yên xwe-propagandî re têkildar e. Ji bilî fonksiyona xwe-belavkirinê, koda xirab di heman demê de fonksiyona paşverû jî vedihewîne da ku gihandina dûr a pergalê peyda bike. Di dema bûyerê de, serverên kontrola paşde (C&C) ne çalak bûn.
Bi tevahî, dema lêkolîna projeyên bandorbûyî, 4 celebên enfeksiyonê hatin nas kirin. Di yek ji vebijarkan de, ji bo çalakkirina paşîn li Linux-ê, pelek destpêka otomatîkî "$HOME/.config/autostart/octo.desktop" hate afirandin, û di Windows-ê de, ji bo destpêkirina wê peywir bi riya schtasks hatin destpêkirin. Pelên din ên hatine afirandin ev in:
- $HOME/.herêmî/parvekirin/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $MAL/Pirtûkxane/LaunchAgents/AutoUpdater.dat
- $MAL/Pirtûkxane/LaunchAgents/AutoUpdater.plist
- $ HOME / Pirtûkxane / LaunchAgents / SoftwareSync.plist
- $ HOME / Pirtûkxane / LaunchAgents / Main.class
Derî paşde dikare were bikar anîn da ku nîşangiran li koda ku ji hêla pêşdebir ve hatî pêşve xistin zêde bike, koda pergalên xwedan derxe, daneyên nepenî dizîne û hesaban bigire. Lekolînwanên ji GitHub rê nadin ku çalakiya xirab tenê bi NetBeans re sînordar nebe û dibe ku guhertoyên din ên Octopus Scanner hebin ku di pêvajoya çêkirinê de li ser bingeha Make, MsBuild, Gradle û pergalên din têne bicîh kirin ku xwe belav bikin.
Navên projeyên bandordar nehatine gotin, lê ew dikarin bi hêsanî bibin bi lêgerîna li GitHub bi karanîna maskeya "cache.dat". Di nav projeyên ku tê de şopên çalakiya xirab hatin dîtin: , , , , , , , , , , , , .
Source: opennet.ru