GitHub Malware die projecten in de NetBeans IDE aanvalt en het bouwproces gebruikt om zichzelf te verspreiden. Uit het onderzoek bleek dat met behulp van de bewuste malware, die de naam Octopus Scanner kreeg, heimelijk backdoors werden geïntegreerd in 26 open projecten met repositories op GitHub. De eerste sporen van de Octopus Scanner-manifestatie dateren van augustus 2018.
De malware kan NetBeans-projectbestanden identificeren en de code ervan toevoegen aan de projectbestanden en gecompileerde JAR-bestanden. Het werkalgoritme komt neer op het vinden van de NetBeans-map met de projecten van de gebruiker, het opsommen van alle projecten in deze map, het kopiëren van het kwaadaardige script naar en wijzigingen aanbrengen in het bestand om dit script aan te roepen elke keer dat het project wordt gebouwd. Wanneer ze zijn samengesteld, wordt een kopie van de malware opgenomen in de resulterende JAR-bestanden, die een bron van verdere verspreiding worden. Er werden bijvoorbeeld kwaadaardige bestanden geplaatst in de opslagplaatsen van de bovengenoemde 26 open source-projecten, evenals in verschillende andere projecten bij het publiceren van builds van nieuwe releases.
Toen een andere gebruiker het geïnfecteerde JAR-bestand downloadde en lanceerde, begon een nieuwe cyclus van zoeken naar NetBeans en het introduceren van kwaadaardige code op zijn systeem, die overeenkomt met het werkingsmodel van zichzelf verspreidende computervirussen. Naast de functionaliteit voor zelfverspreiding omvat de kwaadaardige code ook backdoor-functionaliteit om externe toegang tot het systeem te bieden. Op het moment van het incident waren de backdoor control-servers (C&C) niet actief.
In totaal werden bij het bestuderen van de getroffen projecten vier infectievarianten geïdentificeerd. In een van de opties, om de achterdeur in Linux te activeren, werd een autostartbestand "$HOME/.config/autostart/octo.desktop" gemaakt, en in Windows werden taken gestart via schtasks om het te starten. Andere gemaakte bestanden zijn onder meer:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Bibliotheek/LaunchAgents/AutoUpdater.dat
- $HOME/Bibliotheek/LaunchAgents/AutoUpdater.plist
- $HOME/Bibliotheek/LaunchAgents/SoftwareSync.plist
- $HOME/Bibliotheek/LaunchAgents/Main.class
De achterdeur kan worden gebruikt om bladwijzers toe te voegen aan de door de ontwikkelaar ontwikkelde code, code van bedrijfseigen systemen te lekken, vertrouwelijke gegevens te stelen en accounts over te nemen. Onderzoekers van GitHub sluiten niet uit dat kwaadaardige activiteiten niet beperkt zijn tot NetBeans en dat er mogelijk andere varianten van Octopus Scanner zijn ingebed in het bouwproces op basis van Make, MsBuild, Gradle en andere systemen om zichzelf te verspreiden.
De namen van de betrokken projecten worden niet genoemd, maar dat kan gemakkelijk wel via een zoekopdracht in GitHub met behulp van het masker "cache.dat". Onder de projecten waarin sporen van kwaadwillige activiteiten werden gevonden: , , , , , , , , , , , , .
Bron: opennet.ru