GitHub
Malvér dokáže identifikovať súbory projektu NetBeans a pridať svoj kód do súborov projektu a kompilovaných súborov JAR. Pracovný algoritmus sa scvrkáva na nájdenie adresára NetBeans s projektmi používateľa, vymenovanie všetkých projektov v tomto adresári a skopírovanie škodlivého skriptu do
Keď infikovaný súbor JAR stiahol a spustil iný používateľ, začal sa v jeho systéme ďalší cyklus hľadania NetBeans a zavádzania škodlivého kódu, ktorý zodpovedá prevádzkovému modelu samošíriacich sa počítačových vírusov. Okrem funkcie vlastného šírenia obsahuje škodlivý kód aj funkciu zadných vrátok na poskytovanie vzdialeného prístupu do systému. V čase incidentu neboli servery riadenia zadných dvierok (C&C) aktívne.
Celkovo boli pri štúdiu dotknutých projektov identifikované 4 varianty infekcie. V jednej z možností, ako aktivovať zadné vrátka v Linuxe, sa vytvoril súbor automatického spustenia „$HOME/.config/autostart/octo.desktop“ a vo Windowse sa cez schtask spúšťali úlohy na jeho spustenie. Medzi ďalšie vytvorené súbory patria:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Zadné vrátka by sa mohli použiť na pridávanie záložiek do kódu vyvinutého vývojárom, únik kódu proprietárnych systémov, krádež dôverných údajov a prevzatie účtov. Výskumníci z GitHub nevylučujú, že škodlivá aktivita sa neobmedzuje len na NetBeans a že môžu existovať aj iné varianty Octopus Scanner, ktoré sú zabudované do procesu zostavovania založeného na Make, MsBuild, Gradle a iných systémoch, aby sa šírili.
Mená dotknutých projektov sa neuvádzajú, ale pokojne môžu byť
Zdroj: opennet.ru