တည်ဆောက်ထားသောပရောဂျက်များအတွင်း backdoors များထည့်သွင်းရန် NetBeans ကိုတိုက်ခိုက်သည့် Malware

GitHub ဖော်ထုတ်သည် NetBeans IDE တွင် ပရောဂျက်များကို တိုက်ခိုက်ပြီး သူ့ကိုယ်သူ ပျံ့နှံ့စေရန် တည်ဆောက်မှုလုပ်ငန်းစဉ်ကို အသုံးပြုသည့် မဲလ်ဝဲ။ Octopus Scanner ဟုအမည်ပေးထားသည့်မေးခွန်းရှိ malware ကိုအသုံးပြု၍ backdoors များသည် GitHub ရှိ သိုလှောင်မှုများပါရှိသည့် ပွင့်လင်းသောပရောဂျက် ၂၆ ခုတွင် လျှို့ဝှက်စွာပေါင်းစပ်ထားကြောင်း စုံစမ်းတွေ့ရှိခဲ့သည်။ Octopus Scanner ၏ပထမဆုံးခြေရာများ 26 သြဂုတ်လမှစတင်ခဲ့သည်။

Malware သည် NetBeans ပရောဂျက်ဖိုင်များကို ခွဲခြားသိရှိနိုင်ပြီး ပရောဂျက်ဖိုင်များတွင် ၎င်း၏ကုဒ်ကို ပေါင်းထည့်ကာ JAR ဖိုင်များကို စုစည်းနိုင်မည်ဖြစ်သည်။ အလုပ် algorithm သည် အသုံးပြုသူ၏ပရောဂျက်များနှင့်အတူ NetBeans လမ်းညွှန်ကိုရှာဖွေခြင်း၊ ဤလမ်းညွှန်ရှိပရောဂျက်အားလုံးကိုရေတွက်ခြင်း၊ အန္တရာယ်ရှိသော script ကိုကူးယူခြင်းမှ အကျုံးဝင်သည်။ nbproject/cache.dat ပြီးတော့ ဖိုင်ကို အပြောင်းအလဲတွေ လုပ်တယ်။ nbproject/build-impl.xml ပရောဂျက်ကိုတည်ဆောက်သည့်အခါတိုင်း ဤ script ကိုခေါ်ရန်။ ပေါင်းစည်းလိုက်သောအခါတွင်၊ ထွက်ပေါ်လာသော JAR ဖိုင်များတွင် Malware မိတ္တူကို ထည့်သွင်းထားပြီး၊ ၎င်းသည် ထပ်မံဖြန့်ဖြူးခြင်း၏အရင်းအမြစ်ဖြစ်လာသည်။ ဥပမာအားဖြင့်၊ အထက်ဖော်ပြပါ ပွင့်လင်းရင်းမြစ် ပရောဂျက် ၂၆ ခု၏ သိုလှောင်ခန်းများတွင် အန္တရာယ်ရှိသော ဖိုင်များကို လွှင့်တင်ထားသည့်အပြင် အသစ်ထွက်ရှိထားသော ဗားရှင်းများကို ထုတ်ဝေသည့်အခါတွင် အခြားသော ပရောဂျက်အမျိုးမျိုးကို လွှင့်တင်ထားသည်။

ကူးစက်ခံထားရသော JAR ဖိုင်ကို အခြားအသုံးပြုသူမှ ဒေါင်းလုဒ်လုပ်ပြီး စတင်သောအခါ၊ NetBeans ကိုရှာဖွေခြင်းနှင့် အန္တရာယ်ရှိသောကုဒ်ကို မိတ်ဆက်ခြင်း၏နောက်ထပ်စက်ဝိုင်းသည် ၎င်း၏စနစ်တွင် စတင်ပြန့်ပွားနေသော ကွန်ပျူတာဗိုင်းရပ်စ်များ၏ လည်ပတ်မှုပုံစံနှင့် ကိုက်ညီသည့် ၎င်း၏စနစ်တွင် စတင်ခဲ့သည်။ ကိုယ်တိုင်ဖြန့်ဝေခြင်းလုပ်ဆောင်နိုင်စွမ်းအပြင်၊ အန္တရာယ်ရှိသောကုဒ်တွင် စနစ်သို့အဝေးမှဝင်ရောက်ခွင့်ပေးရန် backdoor လုပ်ဆောင်နိုင်စွမ်းလည်းပါဝင်သည်။ အခင်းဖြစ်ပွားချိန်တွင်၊ backdoor ထိန်းချုပ်မှု (C&C) ဆာဗာများ မလှုပ်ရှားပါ။

စုစုပေါင်း၊ ထိခိုက်မှုပရောဂျက်များကို လေ့လာသောအခါ ကူးစက်မှု အမျိုးအစား ၄ မျိုးအား ဖော်ထုတ်ခဲ့သည်။ ရွေးချယ်စရာများထဲမှတစ်ခုတွင်၊ Linux တွင် backdoor ကိုအသက်သွင်းရန်အတွက်၊ အလိုအလျောက်စတင်သည့်ဖိုင် “$HOME/.config/autostart/octo.desktop” ကိုဖန်တီးခဲ့ပြီး Windows တွင် ၎င်းကိုစတင်ရန် schtasks မှတစ်ဆင့် လုပ်ဆောင်စရာများကိုစတင်ခဲ့သည်။ ဖန်တီးထားသော အခြားဖိုင်များ ပါဝင်သည်-

• $HOME/.local/share/bbauto
• $HOME/.config/autostart/none.desktop
• $HOME/.config/autostart/.desktop
• $HOME/.local/share/Main.class
• $HOME/Library/LaunchAgents/AutoUpdater.dat
• $HOME/Library/LaunchAgents/AutoUpdater.plist
• $HOME/Library/LaunchAgents/SoftwareSync.plist
• $HOME/Library/LaunchAgents/Main.class

ဆော့ဖ်ဝဲရေးသားသူမှ ဖန်တီးထားသော ကုဒ်များ၊ သီးသန့်စနစ်များ၏ ပေါက်ကြားသောကုဒ်များ၊ လျှို့ဝှက်အချက်အလက်များကို ခိုးယူကာ အကောင့်များရယူရန် backdoor ကို အသုံးပြုနိုင်သည်။ GitHub မှ သုတေသီများသည် အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်ကို NetBeans တွင် ကန့်သတ်မထားဘဲ ၎င်းတို့ကို ဖြန့်ကျက်ရန် Make, MsBuild, Gradle နှင့် အခြားသော စနစ်များအပေါ် အခြေခံ၍ တည်ဆောက်မှုလုပ်ငန်းစဉ်တွင် ထည့်သွင်းထားသည့် ရေဘဝဲစကင်နာ၏ အခြားမျိုးကွဲများ ရှိနိုင်သည်ကို မဆုံးဖြတ်ပါ။

ထိခိုက်နစ်နာစေမည့် ပရောဂျက်များ၏ အမည်များကို မဖော်ပြထားသော်လည်း ၎င်းတို့သည် အလွယ်တကူ ဖြစ်နိုင်ပါသည်။ найти “cache.dat” မျက်နှာဖုံးကို အသုံးပြု၍ GitHub တွင် ရှာဖွေမှုမှတဆင့်။ အန္တရာယ်ရှိသော လုပ်ဆောင်ချက် ခြေရာများကို တွေ့ရှိခဲ့သည့် ပရောဂျက်များထဲတွင်- V2Mp3Player, JavaPacman, Kosim-မူဘောင်, Punto de Venta, 2D-ရူပဗေဒ-သရုပ်သကန်များ, PacmanGame, တိရိစ္ဆာန်မှန်း, SnakeCenterBox4, Secuencia Numerica, ခေါ်ဆိုမှုစင်တာ, ProyectoGerundio, pacman-java_ia, စူပါမာရီယို-FR-.

source: opennet.ru