GitHub
Programul malware este capabil să identifice fișierele de proiect NetBeans și să adauge codul său la fișierele de proiect și fișierele JAR compilate. Algoritmul de lucru se rezumă la găsirea directorului NetBeans cu proiectele utilizatorului, enumerarea tuturor proiectelor din acest director, copierea scriptului rău intenționat în
Când fișierul JAR infectat a fost descărcat și lansat de un alt utilizator, a început un alt ciclu de căutare a NetBeans și de introducere a codului rău intenționat pe sistemul său, care corespunde modelului de operare al virușilor informatici cu autopropagare. Pe lângă funcționalitatea de auto-propagare, codul rău intenționat include și funcționalitate backdoor pentru a oferi acces de la distanță la sistem. La momentul incidentului, serverele de control backdoor (C&C) nu erau active.
În total, la studierea proiectelor afectate, au fost identificate 4 variante de infecție. Într-una dintre opțiuni, pentru a activa backdoor în Linux, a fost creat un fișier de pornire automată „$HOME/.config/autostart/octo.desktop”, iar în Windows, sarcinile au fost lansate prin schtasks pentru a-l lansa. Alte fișiere create includ:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Biblioteca/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Biblioteca/LaunchAgents/Main.class
Ușa din spate ar putea fi folosită pentru a adăuga marcaje la codul dezvoltat de dezvoltator, pentru a scurge codul sistemelor proprietare, pentru a fura date confidențiale și pentru a prelua conturi. Cercetătorii de la GitHub nu exclud ca activitatea rău intenționată să nu se limiteze la NetBeans și pot exista și alte variante de Octopus Scanner care sunt încorporate în procesul de construire bazat pe Make, MsBuild, Gradle și alte sisteme pentru a se răspândi.
Numele proiectelor afectate nu sunt menționate, dar pot fi ușor
Sursa: opennet.ru