GitHub Ļaunprātīga programmatūra, kas uzbrūk projektiem NetBeans IDE un izmanto veidošanas procesu, lai sevi izplatītu. Izmeklēšana parādīja, ka, izmantojot attiecīgo ļaunprātīgo programmatūru, kurai tika dots nosaukums Octopus Scanner, aizmugures durvis tika slēpti integrētas 26 atvērtos projektos ar krātuvēm vietnē GitHub. Pirmās Octopus Scanner izpausmes pēdas ir datētas ar 2018. gada augustu.
Ļaunprātīga programmatūra spēj identificēt NetBeans projekta failus un pievienot savu kodu projekta failiem un apkopotajiem JAR failiem. Darba algoritms ir tāds, lai atrastu NetBeans direktoriju ar lietotāja projektiem, uzskaitītu visus šajā direktorijā esošos projektus, kopētu ļaunprātīgo skriptu uz un veikt izmaiņas failā lai izsauktu šo skriptu katru reizi, kad projekts tiek veidots. Samontējot, ļaunprogrammatūras kopija tiek iekļauta iegūtajos JAR failos, kas kļūst par tālākas izplatīšanas avotu. Piemēram, ļaunprātīgi faili tika ievietoti iepriekšminēto 26 atvērtā pirmkoda projektu krātuvēs, kā arī dažādos citos projektos, publicējot jaunu laidienu būvējumus.
Kad cits lietotājs lejupielādēja un palaida inficēto JAR failu, viņa sistēmā sākās kārtējais NetBeans meklēšanas un kaitīgā koda ievadīšanas cikls, kas atbilst pašizplatošo datorvīrusu darbības modelim. Papildus pašizplatīšanās funkcionalitātei ļaunprātīgais kods ietver arī aizmugures durvju funkcionalitāti, lai nodrošinātu attālo piekļuvi sistēmai. Incidenta brīdī aizmugures durvju kontroles (C&C) serveri nebija aktīvi.
Kopumā, pētot skartos projektus, tika identificēti 4 infekcijas varianti. Vienā no opcijām, lai aktivizētu aizmugures durvis operētājsistēmā Linux, tika izveidots automātiskās palaišanas fails “$HOME/.config/autostart/octo.desktop”, un operētājsistēmā Windows uzdevumi tika palaisti caur schtasks, lai to palaistu. Citi izveidotie faili ietver:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Aizmugurējās durvis var izmantot, lai pievienotu grāmatzīmes izstrādātāja izstrādātajam kodam, nopludinātu patentētu sistēmu kodu, nozagtu konfidenciālus datus un pārņemtu kontus. Pētnieki no GitHub neizslēdz, ka ļaunprātīga darbība neaprobežojas tikai ar NetBeans, un var būt arī citi Octopus Scanner varianti, kas ir iegulti veidošanas procesā, pamatojoties uz Make, MsBuild, Gradle un citām sistēmām, lai izplatītos paši.
Ietekmēto projektu nosaukumi nav minēti, bet tie var viegli būt izmantojot meklēšanu GitHub, izmantojot masku “cache.dat”. Starp projektiem, kuros tika konstatētas ļaunprātīgas darbības pēdas: , , , , , , , , , , , , .
Avots: opennet.ru