GitHub
Skadevaren er i stand til å identifisere NetBeans-prosjektfiler og legge til koden til prosjektfilene og kompilerte JAR-filer. Arbeidsalgoritmen koker ned til å finne NetBeans-katalogen med brukerens prosjekter, telle opp alle prosjekter i denne katalogen, kopiere det skadelige skriptet til
Da den infiserte JAR-filen ble lastet ned og lansert av en annen bruker, startet en ny syklus med søk etter NetBeans og introduksjon av ondsinnet kode på systemet hans, som tilsvarer driftsmodellen for selvforplantende datavirus. I tillegg til selvforplantningsfunksjonalitet inkluderer den ondsinnede koden også bakdørsfunksjonalitet for å gi ekstern tilgang til systemet. På tidspunktet for hendelsen var ikke bakdørskontrollservere (C&C) aktive.
Totalt, når man studerte de berørte prosjektene, ble 4 varianter av infeksjon identifisert. I ett av alternativene, for å aktivere bakdøren i Linux, ble det opprettet en autostartfil "$HOME/.config/autostart/octo.desktop", og i Windows ble oppgaver startet via schtasks for å starte den. Andre filer som er opprettet inkluderer:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Bakdøren kan brukes til å legge til bokmerker til koden utviklet av utvikleren, lekke kode for proprietære systemer, stjele konfidensielle data og ta over kontoer. Forskere fra GitHub utelukker ikke at ondsinnet aktivitet ikke er begrenset til NetBeans og det kan være andre varianter av Octopus Scanner som er innebygd i byggeprosessen basert på Make, MsBuild, Gradle og andre systemer for å spre seg selv.
Navnene på de berørte prosjektene er ikke nevnt, men de kan lett være det
Kilde: opennet.ru