GitHub Zlonamerna programska oprema, ki napada projekte v okolju IDE NetBeans in uporablja postopek gradnje za širjenje. Preiskava je pokazala, da so bila z uporabo zadevne zlonamerne programske opreme, ki je dobila ime Octopus Scanner, stranska vrata prikrito integrirana v 26 odprtih projektov z repozitoriji na GitHubu. Prve sledi manifestacije Octopus Scanner segajo v avgust 2018.
Zlonamerna programska oprema lahko prepozna projektne datoteke NetBeans in doda svojo kodo v projektne datoteke in prevedene datoteke JAR. Delovni algoritem se zmanjša na iskanje imenika NetBeans z uporabnikovimi projekti, naštevanje vseh projektov v tem imeniku, kopiranje zlonamernega skripta v in spreminjanje datoteke da pokličete ta skript vsakič, ko je projekt zgrajen. Ko je sestavljena, je kopija zlonamerne programske opreme vključena v nastale datoteke JAR, ki postanejo vir nadaljnje distribucije. Zlonamerne datoteke so bile na primer objavljene v skladiščih zgoraj omenjenih 26 odprtokodnih projektov, pa tudi v različnih drugih projektih ob objavljanju gradenj novih izdaj.
Ko je okuženo datoteko JAR prenesel in zagnal drug uporabnik, se je na njegovem sistemu začel nov cikel iskanja NetBeans in vnosa zlonamerne kode, kar ustreza modelu delovanja samorazmnoževalnih računalniških virusov. Poleg funkcije samorazmnoževanja zlonamerna koda vključuje tudi funkcijo backdoor za zagotavljanje oddaljenega dostopa do sistema. V času incidenta strežniki za nadzor zakulisnih vrat (C&C) niso bili aktivni.
Skupno so pri preučevanju prizadetih projektov ugotovili 4 različice okužbe. V eni od možnosti za aktiviranje backdoorja v Linuxu je bila ustvarjena datoteka za samodejni zagon “$HOME/.config/autostart/octo.desktop”, v sistemu Windows pa so se opravila zagnala prek schtasks za zagon. Druge ustvarjene datoteke vključujejo:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Zadnja vrata bi lahko uporabili za dodajanje zaznamkov kodi, ki jo je razvil razvijalec, uhajanje kode lastniških sistemov, krajo zaupnih podatkov in prevzem računov. Raziskovalci iz GitHuba ne izključujejo, da zlonamerna dejavnost ni omejena na NetBeans in da lahko obstajajo druge različice Octopus Scannerja, ki so vgrajene v proces gradnje na podlagi Make, MsBuild, Gradle in drugih sistemov, da se širijo same.
Imena prizadetih projektov niso omenjena, lahko pa so z iskanjem v GitHubu z masko »cache.dat«. Med projekti, v katerih so bile odkrite sledi zlonamerne dejavnosti: , , , , , , , , , , , , .
Vir: opennet.ru