GitHub
Szkodnik potrafi zidentyfikować pliki projektu NetBeans i dodać swój kod do plików projektu oraz skompilowanych plików JAR. Algorytm pracy sprowadza się do odnalezienia katalogu NetBeans z projektami użytkownika, wyliczenia wszystkich projektów znajdujących się w tym katalogu, skopiowania złośliwego skryptu do
Kiedy zainfekowany plik JAR został pobrany i uruchomiony przez innego użytkownika, w jego systemie rozpoczął się kolejny cykl poszukiwań NetBeans i wprowadzenia szkodliwego kodu, co odpowiada modelowi działania samoczynnie rozprzestrzeniających się wirusów komputerowych. Oprócz funkcji samorozprzestrzeniania się złośliwy kod zawiera także funkcję backdoora, która umożliwia zdalny dostęp do systemu. W momencie zdarzenia serwery kontroli backdoorów (C&C) nie były aktywne.
W sumie podczas badania dotkniętych projektów zidentyfikowano 4 warianty infekcji. W jednej z opcji, aby aktywować backdoora w systemie Linux, tworzony był plik autostartu „$HOME/.config/autostart/octo.desktop”, a w systemie Windows uruchamiane były zadania poprzez schtasks w celu jego uruchomienia. Inne utworzone pliki obejmują:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Backdoor może zostać wykorzystany do dodawania zakładek do opracowanego przez programistę kodu, wyciekania kodu z zastrzeżonych systemów, kradzieży poufnych danych i przejmowania kont. Badacze z GitHub nie wykluczają, że złośliwa aktywność nie ogranicza się do NetBeans i mogą istnieć inne warianty Octopus Scanner, które są wbudowane w proces kompilacji w oparciu o systemy Make, MsBuild, Gradle i inne, aby się rozprzestrzeniać.
Nazwy projektów, których to dotyczy, nie są wymienione, ale łatwo je wymienić
Źródło: opennet.ru