GitHub NetBeans IDE дахь төслүүдэд халдаж, өөрөө тархахын тулд бүтээх процессыг ашигладаг хортой програм. Мөрдөн байцаалтын үр дүнд Octopus Scanner нэртэй уг хортой программыг ашиглан GitHub дээрх агуулах бүхий 26 нээлттэй төсөлд арын хаалгануудыг нууцаар нэгтгэсэн болохыг харуулсан. Наймаалжны сканнерын илрэлийн анхны ул мөр 2018 оны XNUMX-р сараас эхэлсэн.
Хортой програм нь NetBeans төслийн файлуудыг таних чадвартай бөгөөд төслийн файлууд болон хөрвүүлсэн JAR файлууд руу кодоо нэмэх боломжтой. Ажлын алгоритм нь хэрэглэгчийн төслүүдтэй NetBeans лавлахыг хайж олох, энэ лавлах дахь бүх төслүүдийг тоолох, хортой скриптийг хуулах зэрэгт ордог. мөн файлд өөрчлөлт оруулах төсөл баригдах бүрт энэ скриптийг дуудах. Угсарсан үед хортой програмын хуулбарыг JAR файлд багтаасан бөгөөд энэ нь цаашдын түгээлтийн эх үүсвэр болдог. Жишээлбэл, дээр дурдсан 26 нээлттэй эхийн төсөл, түүнчлэн шинэ хувилбаруудын бүтцийг нийтлэх үед бусад янз бүрийн төслүүдийн агуулах руу хортой файлуудыг байршуулсан.
Халдвар авсан JAR файлыг өөр хэрэглэгч татан авч ажиллуулсны дараа түүний системд NetBeans хайлт, хортой кодыг нэвтрүүлэх өөр нэг мөчлөг эхэлсэн бөгөөд энэ нь өөрөө тархдаг компьютерийн вирусын үйлдлийн загвартай тохирч байна. Хортой код нь өөрөө тархах функцээс гадна системд алсаас нэвтрэх боломжийг олгодог арын хаалганы функцийг агуулдаг. Хэрэг гарах үед арын хаалганы удирдлага (C&C) серверүүд идэвхжээгүй байсан.
Нөлөөлөлд өртсөн төслүүдийг судлахдаа халдварын 4 хувилбарыг тодорхойлсон. Линукс дээр арын хаалгыг идэвхжүүлэхийн тулд "$HOME/.config/autostart/octo.desktop" файлыг үүсгэсэн бөгөөд Windows дээр schtasks-ээр дамжуулан даалгавруудыг эхлүүлсэн. Бусад үүсгэсэн файлууд нь:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Арын хаалга нь хөгжүүлэгчийн боловсруулсан кодонд хавчуурга нэмэх, өмчлөлийн системийн кодыг задруулах, нууц мэдээллийг хулгайлах, дансыг авах зэрэгт ашиглаж болно. GitHub-ийн судлаачид хорлонтой үйл ажиллагаа нь зөвхөн NetBeans-ээр хязгаарлагдахгүй бөгөөд Make, MsBuild, Gradle болон бусад системүүд дээр тулгуурлан бүтээх процесст суулгагдсан Наймаалжны сканнерын өөр хувилбарууд байж болохыг үгүйсгэхгүй.
Нөлөөлөлд өртсөн төслүүдийн нэрийг дурдаагүй ч амархан байж болно "cache.dat" маск ашиглан GitHub дээр хайлт хийх замаар. Хортой үйл ажиллагааны ул мөр олдсон төслүүдийн дунд: , , , , , , , , , , , , .
Эх сурвалж: opennet.ru