GitHub Malvér, ktorý útočí na projekty v NetBeans IDE a využíva proces zostavovania na svoje šírenie. Vyšetrovanie ukázalo, že pomocou predmetného malvéru, ktorý dostal názov Octopus Scanner, boli zadné vrátka skryte integrované do 26 otvorených projektov s úložiskami na GitHub. Prvé stopy prejavu Octopus Scanner sa datujú do augusta 2018.
Malvér dokáže identifikovať súbory projektu NetBeans a pridať svoj kód do súborov projektu a kompilovaných súborov JAR. Pracovný algoritmus sa scvrkáva na nájdenie adresára NetBeans s projektmi používateľa, vymenovanie všetkých projektov v tomto adresári a skopírovanie škodlivého skriptu do a vykonaním zmien v súbore volať tento skript pri každom zostavovaní projektu. Po zostavení je kópia malvéru zahrnutá do výsledných súborov JAR, ktoré sa stávajú zdrojom ďalšej distribúcie. Škodlivé súbory sa napríklad umiestňovali do repozitárov vyššie uvedených 26 projektov s otvoreným zdrojovým kódom, ako aj rôznych iných projektov pri zverejňovaní zostáv nových vydaní.
Keď infikovaný súbor JAR stiahol a spustil iný používateľ, začal sa v jeho systéme ďalší cyklus hľadania NetBeans a zavádzania škodlivého kódu, ktorý zodpovedá prevádzkovému modelu samošíriacich sa počítačových vírusov. Okrem funkcie vlastného šírenia obsahuje škodlivý kód aj funkciu zadných vrátok na poskytovanie vzdialeného prístupu do systému. V čase incidentu neboli servery riadenia zadných dvierok (C&C) aktívne.
Celkovo boli pri štúdiu dotknutých projektov identifikované 4 varianty infekcie. V jednej z možností, ako aktivovať zadné vrátka v Linuxe, sa vytvoril súbor automatického spustenia „$HOME/.config/autostart/octo.desktop“ a vo Windowse sa cez schtask spúšťali úlohy na jeho spustenie. Medzi ďalšie vytvorené súbory patria:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Zadné vrátka by sa mohli použiť na pridávanie záložiek do kódu vyvinutého vývojárom, únik kódu proprietárnych systémov, krádež dôverných údajov a prevzatie účtov. Výskumníci z GitHub nevylučujú, že škodlivá aktivita sa neobmedzuje len na NetBeans a že môžu existovať aj iné varianty Octopus Scanner, ktoré sú zabudované do procesu zostavovania založeného na Make, MsBuild, Gradle a iných systémoch, aby sa šírili.
Mená dotknutých projektov sa neuvádzajú, ale pokojne môžu byť prostredníctvom vyhľadávania v GitHub pomocou masky „cache.dat“. Medzi projektmi, v ktorých sa našli stopy škodlivej činnosti: , , , , , , , , , , , , .
Zdroj: opennet.ru