GitHub Złośliwe oprogramowanie atakujące projekty w NetBeans IDE i wykorzystujące proces kompilacji do rozprzestrzeniania się. Dochodzenie wykazało, że przy użyciu przedmiotowego szkodliwego oprogramowania, któremu nadano nazwę Octopus Scanner, backdoory zostały potajemnie zintegrowane z 26 otwartymi projektami z repozytoriami w serwisie GitHub. Pierwsze ślady manifestacji Octopus Scanner pochodzą z sierpnia 2018 roku.
Szkodnik potrafi zidentyfikować pliki projektu NetBeans i dodać swój kod do plików projektu oraz skompilowanych plików JAR. Algorytm pracy sprowadza się do odnalezienia katalogu NetBeans z projektami użytkownika, wyliczenia wszystkich projektów znajdujących się w tym katalogu, skopiowania złośliwego skryptu do i dokonanie zmian w pliku aby wywoływać ten skrypt za każdym razem, gdy projekt jest budowany. Po złożeniu kopia złośliwego oprogramowania jest dołączana do powstałych plików JAR, które stają się źródłem dalszej dystrybucji. Na przykład złośliwe pliki zostały opublikowane w repozytoriach wyżej wymienionych 26 projektów open source, a także różnych innych projektów podczas publikowania kompilacji nowych wydań.
Kiedy zainfekowany plik JAR został pobrany i uruchomiony przez innego użytkownika, w jego systemie rozpoczął się kolejny cykl poszukiwań NetBeans i wprowadzenia szkodliwego kodu, co odpowiada modelowi działania samoczynnie rozprzestrzeniających się wirusów komputerowych. Oprócz funkcji samorozprzestrzeniania się złośliwy kod zawiera także funkcję backdoora, która umożliwia zdalny dostęp do systemu. W momencie zdarzenia serwery kontroli backdoorów (C&C) nie były aktywne.
W sumie podczas badania dotkniętych projektów zidentyfikowano 4 warianty infekcji. W jednej z opcji, aby aktywować backdoora w systemie Linux, tworzony był plik autostartu „$HOME/.config/autostart/octo.desktop”, a w systemie Windows uruchamiane były zadania poprzez schtasks w celu jego uruchomienia. Inne utworzone pliki obejmują:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Backdoor może zostać wykorzystany do dodawania zakładek do opracowanego przez programistę kodu, wyciekania kodu z zastrzeżonych systemów, kradzieży poufnych danych i przejmowania kont. Badacze z GitHub nie wykluczają, że złośliwa aktywność nie ogranicza się do NetBeans i mogą istnieć inne warianty Octopus Scanner, które są wbudowane w proces kompilacji w oparciu o systemy Make, MsBuild, Gradle i inne, aby się rozprzestrzeniać.
Nazwy projektów, których to dotyczy, nie są wymienione, ale łatwo je wymienić poprzez wyszukiwanie w GitHubie przy użyciu maski „cache.dat”. Wśród projektów, w których wykryto ślady szkodliwej aktywności: , , , , , , , , , , , , .
Źródło: opennet.ru