GitHub
Zlonamerna programska oprema lahko prepozna projektne datoteke NetBeans in doda svojo kodo v projektne datoteke in prevedene datoteke JAR. Delovni algoritem se zmanjša na iskanje imenika NetBeans z uporabnikovimi projekti, naštevanje vseh projektov v tem imeniku, kopiranje zlonamernega skripta v
Ko je okuženo datoteko JAR prenesel in zagnal drug uporabnik, se je na njegovem sistemu začel nov cikel iskanja NetBeans in vnosa zlonamerne kode, kar ustreza modelu delovanja samorazmnoževalnih računalniških virusov. Poleg funkcije samorazmnoževanja zlonamerna koda vključuje tudi funkcijo backdoor za zagotavljanje oddaljenega dostopa do sistema. V času incidenta strežniki za nadzor zakulisnih vrat (C&C) niso bili aktivni.
Skupno so pri preučevanju prizadetih projektov ugotovili 4 različice okužbe. V eni od možnosti za aktiviranje backdoorja v Linuxu je bila ustvarjena datoteka za samodejni zagon “$HOME/.config/autostart/octo.desktop”, v sistemu Windows pa so se opravila zagnala prek schtasks za zagon. Druge ustvarjene datoteke vključujejo:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Zadnja vrata bi lahko uporabili za dodajanje zaznamkov kodi, ki jo je razvil razvijalec, uhajanje kode lastniških sistemov, krajo zaupnih podatkov in prevzem računov. Raziskovalci iz GitHuba ne izključujejo, da zlonamerna dejavnost ni omejena na NetBeans in da lahko obstajajo druge različice Octopus Scannerja, ki so vgrajene v proces gradnje na podlagi Make, MsBuild, Gradle in drugih sistemov, da se širijo same.
Imena prizadetih projektov niso omenjena, lahko pa so
Vir: opennet.ru