GitHub Malware care atacă proiecte în IDE-ul NetBeans și utilizează procesul de compilare pentru a se răspândi. Investigația a arătat că, folosind malware-ul în cauză, căruia i s-a dat numele Octopus Scanner, ușile din spate au fost integrate în mod ascuns în 26 de proiecte deschise cu depozite pe GitHub. Primele urme ale manifestării Octopus Scanner datează din august 2018.
Programul malware este capabil să identifice fișierele de proiect NetBeans și să adauge codul său la fișierele de proiect și fișierele JAR compilate. Algoritmul de lucru se rezumă la găsirea directorului NetBeans cu proiectele utilizatorului, enumerarea tuturor proiectelor din acest director, copierea scriptului rău intenționat în și efectuarea de modificări la fișier pentru a apela acest script de fiecare dată când proiectul este construit. Când este asamblat, o copie a malware-ului este inclusă în fișierele JAR rezultate, care devin o sursă de distribuție ulterioară. De exemplu, fișierele rău intenționate au fost postate în depozitele celor 26 de proiecte open source menționate mai sus, precum și în diverse alte proiecte atunci când se publică versiuni ale noilor versiuni.
Când fișierul JAR infectat a fost descărcat și lansat de un alt utilizator, a început un alt ciclu de căutare a NetBeans și de introducere a codului rău intenționat pe sistemul său, care corespunde modelului de operare al virușilor informatici cu autopropagare. Pe lângă funcționalitatea de auto-propagare, codul rău intenționat include și funcționalitate backdoor pentru a oferi acces de la distanță la sistem. La momentul incidentului, serverele de control backdoor (C&C) nu erau active.
În total, la studierea proiectelor afectate, au fost identificate 4 variante de infecție. Într-una dintre opțiuni, pentru a activa backdoor în Linux, a fost creat un fișier de pornire automată „$HOME/.config/autostart/octo.desktop”, iar în Windows, sarcinile au fost lansate prin schtasks pentru a-l lansa. Alte fișiere create includ:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Biblioteca/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Biblioteca/LaunchAgents/Main.class
Ușa din spate ar putea fi folosită pentru a adăuga marcaje la codul dezvoltat de dezvoltator, pentru a scurge codul sistemelor proprietare, pentru a fura date confidențiale și pentru a prelua conturi. Cercetătorii de la GitHub nu exclud ca activitatea rău intenționată să nu se limiteze la NetBeans și pot exista și alte variante de Octopus Scanner care sunt încorporate în procesul de construire bazat pe Make, MsBuild, Gradle și alte sisteme pentru a se răspândi.
Numele proiectelor afectate nu sunt menționate, dar pot fi ușor printr-o căutare în GitHub folosind masca „cache.dat”. Printre proiectele în care au fost găsite urme de activitate rău intenționată: , , , , , , , , , , , , .
Sursa: opennet.ru