GitHub
Il-malware huwa kapaċi jidentifika l-fajls tal-proġett NetBeans u jżid il-kodiċi tiegħu mal-fajls tal-proġett u l-fajls JAR ikkompilati. L-algoritmu tax-xogħol jeħodna biex isib id-direttorju NetBeans mal-proġetti tal-utent, enumera l-proġetti kollha f'dan id-direttorju, jikkopja l-iskript malizzjuż għal
Meta l-fajl JAR infettat ġie mniżżel u mniedi minn utent ieħor, beda ċiklu ieħor ta 'tiftix għal NetBeans u introduzzjoni ta' kodiċi malizzjuż fis-sistema tiegħu, li jikkorrispondi għall-mudell operattiv ta 'viruses tal-kompjuter li jippropagaw lilhom infushom. Minbarra l-funzjonalità ta 'awtopropagazzjoni, il-kodiċi malizzjuż jinkludi wkoll funzjonalità ta' backdoor biex jipprovdi aċċess remot għas-sistema. Fiż-żmien tal-inċident, is-servers tal-kontroll tal-backdoor (C&C) ma kinux attivi.
B'kollox, meta ġew studjati l-proġetti affettwati, ġew identifikati 4 varjanti ta 'infezzjoni. F'waħda mill-għażliet, biex tiġi attivata l-backdoor fil-Linux, inħoloq fajl awtostart "$HOME/.config/autostart/octo.desktop", u fil-Windows, il-kompiti ġew imnedija permezz ta 'schtasks biex inieduh. Fajls oħra maħluqa jinkludu:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Librerija/LaunchAgents/AutoUpdater.dat
- $HOME/Librerija/LaunchAgents/AutoUpdater.plist
- $HOME/Librerija/LaunchAgents/SoftwareSync.plist
- $HOME/Librerija/LaunchAgents/Main.class
Il-backdoor jista 'jintuża biex iżżid bookmarks mal-kodiċi żviluppat mill-iżviluppatur, inixxi kodiċi ta' sistemi proprjetarji, jisirqu data kunfidenzjali u jieħu f'idejh il-kontijiet. Riċerkaturi minn GitHub ma jeskludux li attività malizzjuża mhix limitata għal NetBeans u jista 'jkun hemm varjanti oħra ta' Octopus Scanner li huma inkorporati fil-proċess tal-bini bbażat fuq Make, MsBuild, Gradle u sistemi oħra biex jinfirxu lilhom infushom.
L-ismijiet tal-proġetti affettwati ma jissemmewx, iżda jistgħu jkunu faċilment
Sors: opennet.ru