GitHub
Ļaunprātīga programmatūra spēj identificēt NetBeans projekta failus un pievienot savu kodu projekta failiem un apkopotajiem JAR failiem. Darba algoritms ir tāds, lai atrastu NetBeans direktoriju ar lietotāja projektiem, uzskaitītu visus šajā direktorijā esošos projektus, kopētu ļaunprātīgo skriptu uz
Kad cits lietotājs lejupielādēja un palaida inficēto JAR failu, viņa sistēmā sākās kārtējais NetBeans meklēšanas un kaitīgā koda ievadīšanas cikls, kas atbilst pašizplatošo datorvīrusu darbības modelim. Papildus pašizplatīšanās funkcionalitātei ļaunprātīgais kods ietver arī aizmugures durvju funkcionalitāti, lai nodrošinātu attālo piekļuvi sistēmai. Incidenta brīdī aizmugures durvju kontroles (C&C) serveri nebija aktīvi.
Kopumā, pētot skartos projektus, tika identificēti 4 infekcijas varianti. Vienā no opcijām, lai aktivizētu aizmugures durvis operētājsistēmā Linux, tika izveidots automātiskās palaišanas fails “$HOME/.config/autostart/octo.desktop”, un operētājsistēmā Windows uzdevumi tika palaisti caur schtasks, lai to palaistu. Citi izveidotie faili ietver:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Aizmugurējās durvis var izmantot, lai pievienotu grāmatzīmes izstrādātāja izstrādātajam kodam, nopludinātu patentētu sistēmu kodu, nozagtu konfidenciālus datus un pārņemtu kontus. Pētnieki no GitHub neizslēdz, ka ļaunprātīga darbība neaprobežojas tikai ar NetBeans, un var būt arī citi Octopus Scanner varianti, kas ir iegulti veidošanas procesā, pamatojoties uz Make, MsBuild, Gradle un citām sistēmām, lai izplatītos paši.
Ietekmēto projektu nosaukumi nav minēti, bet tie var viegli būt
Avots: opennet.ru