GitHub Malware li jattakka proġetti fl-IDE NetBeans u juża l-proċess tal-bini biex jinfirex. L-investigazzjoni wriet li bl-użu tal-malware inkwistjoni, li ngħata l-isem Octopus Scanner, backdoors ġew integrati bil-moħbi f'26 proġett miftuħ b'repożitorji fuq GitHub. L-ewwel traċċi tal-manifestazzjoni tal-Qarnit tal-Iskaner imorru lura għal Awwissu tal-2018.
Il-malware huwa kapaċi jidentifika l-fajls tal-proġett NetBeans u jżid il-kodiċi tiegħu mal-fajls tal-proġett u l-fajls JAR ikkompilati. L-algoritmu tax-xogħol jeħodna biex isib id-direttorju NetBeans mal-proġetti tal-utent, enumera l-proġetti kollha f'dan id-direttorju, jikkopja l-iskript malizzjuż għal u tagħmel bidliet fil-fajl li ssejjaħ dan l-iskript kull darba li jinbena l-proġett. Meta immuntat, kopja tal-malware hija inkluża fil-fajls JAR li jirriżultaw, li jsiru sors ta 'distribuzzjoni ulterjuri. Pereżempju, fajls malizzjużi ġew stazzjonati fir-repożitorji tas-26 proġett open source imsemmija hawn fuq, kif ukoll diversi proġetti oħra meta ppublikaw builds ta 'rilaxxi ġodda.
Meta l-fajl JAR infettat ġie mniżżel u mniedi minn utent ieħor, beda ċiklu ieħor ta 'tiftix għal NetBeans u introduzzjoni ta' kodiċi malizzjuż fis-sistema tiegħu, li jikkorrispondi għall-mudell operattiv ta 'viruses tal-kompjuter li jippropagaw lilhom infushom. Minbarra l-funzjonalità ta 'awtopropagazzjoni, il-kodiċi malizzjuż jinkludi wkoll funzjonalità ta' backdoor biex jipprovdi aċċess remot għas-sistema. Fiż-żmien tal-inċident, is-servers tal-kontroll tal-backdoor (C&C) ma kinux attivi.
B'kollox, meta ġew studjati l-proġetti affettwati, ġew identifikati 4 varjanti ta 'infezzjoni. F'waħda mill-għażliet, biex tiġi attivata l-backdoor fil-Linux, inħoloq fajl awtostart "$HOME/.config/autostart/octo.desktop", u fil-Windows, il-kompiti ġew imnedija permezz ta 'schtasks biex inieduh. Fajls oħra maħluqa jinkludu:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Librerija/LaunchAgents/AutoUpdater.dat
- $HOME/Librerija/LaunchAgents/AutoUpdater.plist
- $HOME/Librerija/LaunchAgents/SoftwareSync.plist
- $HOME/Librerija/LaunchAgents/Main.class
Il-backdoor jista 'jintuża biex iżżid bookmarks mal-kodiċi żviluppat mill-iżviluppatur, inixxi kodiċi ta' sistemi proprjetarji, jisirqu data kunfidenzjali u jieħu f'idejh il-kontijiet. Riċerkaturi minn GitHub ma jeskludux li attività malizzjuża mhix limitata għal NetBeans u jista 'jkun hemm varjanti oħra ta' Octopus Scanner li huma inkorporati fil-proċess tal-bini bbażat fuq Make, MsBuild, Gradle u sistemi oħra biex jinfirxu lilhom infushom.
L-ismijiet tal-proġetti affettwati ma jissemmewx, iżda jistgħu jkunu faċilment permezz ta’ tfittxija f’GitHub bl-użu tal-maskra “cache.dat”. Fost il-proġetti li fihom instabu traċċi ta’ attività malizzjuża: , , , , , , , , , , , , .
Sors: opennet.ru