GitHub
De malware kan NetBeans-projectbestanden identificeren en de code ervan toevoegen aan de projectbestanden en gecompileerde JAR-bestanden. Het werkalgoritme komt neer op het vinden van de NetBeans-map met de projecten van de gebruiker, het opsommen van alle projecten in deze map, het kopiëren van het kwaadaardige script naar
Toen een andere gebruiker het geïnfecteerde JAR-bestand downloadde en lanceerde, begon een nieuwe cyclus van zoeken naar NetBeans en het introduceren van kwaadaardige code op zijn systeem, die overeenkomt met het werkingsmodel van zichzelf verspreidende computervirussen. Naast de functionaliteit voor zelfverspreiding omvat de kwaadaardige code ook backdoor-functionaliteit om externe toegang tot het systeem te bieden. Op het moment van het incident waren de backdoor control-servers (C&C) niet actief.
In totaal werden bij het bestuderen van de getroffen projecten vier infectievarianten geïdentificeerd. In een van de opties, om de achterdeur in Linux te activeren, werd een autostartbestand "$HOME/.config/autostart/octo.desktop" gemaakt, en in Windows werden taken gestart via schtasks om het te starten. Andere gemaakte bestanden zijn onder meer:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Bibliotheek/LaunchAgents/AutoUpdater.dat
- $HOME/Bibliotheek/LaunchAgents/AutoUpdater.plist
- $HOME/Bibliotheek/LaunchAgents/SoftwareSync.plist
- $HOME/Bibliotheek/LaunchAgents/Main.class
De achterdeur kan worden gebruikt om bladwijzers toe te voegen aan de door de ontwikkelaar ontwikkelde code, code van bedrijfseigen systemen te lekken, vertrouwelijke gegevens te stelen en accounts over te nemen. Onderzoekers van GitHub sluiten niet uit dat kwaadaardige activiteiten niet beperkt zijn tot NetBeans en dat er mogelijk andere varianten van Octopus Scanner zijn ingebed in het bouwproces op basis van Make, MsBuild, Gradle en andere systemen om zichzelf te verspreiden.
De namen van de betrokken projecten worden niet genoemd, maar dat kan gemakkelijk wel
Bron: opennet.ru