GitHub Skadelig programvare som angriper prosjekter i NetBeans IDE og bruker byggeprosessen til å spre seg selv. Undersøkelsen viste at ved bruk av den aktuelle skadevaren, som ble gitt navnet Octopus Scanner, ble bakdører skjult integrert i 26 åpne prosjekter med repositories på GitHub. De første sporene av Octopus Scanner-manifestasjonen går tilbake til august 2018.
Skadevaren er i stand til å identifisere NetBeans-prosjektfiler og legge til koden til prosjektfilene og kompilerte JAR-filer. Arbeidsalgoritmen koker ned til å finne NetBeans-katalogen med brukerens prosjekter, telle opp alle prosjekter i denne katalogen, kopiere det skadelige skriptet til og gjøre endringer i filen å kalle dette skriptet hver gang prosjektet bygges. Når den er satt sammen, er en kopi av skadelig programvare inkludert i de resulterende JAR-filene, som blir en kilde til videre distribusjon. For eksempel ble ondsinnede filer postet til depotene til de ovennevnte 26 åpen kildekode-prosjektene, så vel som forskjellige andre prosjekter ved publisering av bygg av nye utgivelser.
Da den infiserte JAR-filen ble lastet ned og lansert av en annen bruker, startet en ny syklus med søk etter NetBeans og introduksjon av ondsinnet kode på systemet hans, som tilsvarer driftsmodellen for selvforplantende datavirus. I tillegg til selvforplantningsfunksjonalitet inkluderer den ondsinnede koden også bakdørsfunksjonalitet for å gi ekstern tilgang til systemet. På tidspunktet for hendelsen var ikke bakdørskontrollservere (C&C) aktive.
Totalt, når man studerte de berørte prosjektene, ble 4 varianter av infeksjon identifisert. I ett av alternativene, for å aktivere bakdøren i Linux, ble det opprettet en autostartfil "$HOME/.config/autostart/octo.desktop", og i Windows ble oppgaver startet via schtasks for å starte den. Andre filer som er opprettet inkluderer:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Bakdøren kan brukes til å legge til bokmerker til koden utviklet av utvikleren, lekke kode for proprietære systemer, stjele konfidensielle data og ta over kontoer. Forskere fra GitHub utelukker ikke at ondsinnet aktivitet ikke er begrenset til NetBeans og det kan være andre varianter av Octopus Scanner som er innebygd i byggeprosessen basert på Make, MsBuild, Gradle og andre systemer for å spre seg selv.
Navnene på de berørte prosjektene er ikke nevnt, men de kan lett være det gjennom et søk i GitHub ved å bruke "cache.dat"-masken. Blant prosjektene der spor av ondsinnet aktivitet ble funnet: , , , , , , , , , , , , .
Kilde: opennet.ru