GitHub Malware që sulmon projektet në NetBeans IDE dhe përdor procesin e ndërtimit për t'u përhapur. Hetimi tregoi se duke përdorur malware-in në fjalë, të cilit iu dha emri Octopus Scanner, backdoors u integruan fshehurazi në 26 projekte të hapura me depo në GitHub. Gjurmët e para të manifestimit të Skanerit të Oktapodit datojnë në gusht 2018.
Malware është në gjendje të identifikojë skedarët e projektit NetBeans dhe të shtojë kodin e tij në skedarët e projektit dhe skedarët e përpiluar JAR. Algoritmi i punës zbret në gjetjen e drejtorisë NetBeans me projektet e përdoruesit, duke numëruar të gjitha projektet në këtë direktori, duke kopjuar skriptin keqdashës në dhe duke bërë ndryshime në skedar për të thirrur këtë skript sa herë që ndërtohet projekti. Kur montohet, një kopje e malware përfshihet në skedarët JAR që rezultojnë, të cilët bëhen burim shpërndarjeje të mëtejshme. Për shembull, skedarët me qëllim të keq u postuan në magazinat e 26 projekteve me burim të hapur të lartpërmendur, si dhe në projekte të tjera të ndryshme gjatë publikimit të versioneve të versioneve të reja.
Kur skedari i infektuar JAR u shkarkua dhe u lëshua nga një përdorues tjetër, në sistemin e tij filloi një cikël tjetër kërkimi për NetBeans dhe futja e kodit me qëllim të keq, i cili korrespondon me modelin e funksionimit të viruseve kompjuterike që përhapen vetë. Përveç funksionalitetit të vetëpërhapjes, kodi keqdashës përfshin gjithashtu funksionalitetin e dyerve të pasme për të siguruar akses në distancë në sistem. Në kohën e incidentit, serverët e kontrollit të derës së pasme (C&C) nuk ishin aktivë.
Në total, gjatë studimit të projekteve të prekura, u identifikuan 4 variante të infeksionit. Në një nga opsionet, për të aktivizuar derën e pasme në Linux, u krijua një skedar autostart "$HOME/.config/autostart/octo.desktop" dhe në Windows, detyrat u nisën përmes schtasks për ta nisur atë. Skedarët e tjerë të krijuar përfshijnë:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Klasa kryesore
Backdoor mund të përdoret për të shtuar faqeshënues në kodin e zhvilluar nga zhvilluesi, për të nxjerrë kodin e sistemeve të pronarit, për të vjedhur të dhëna konfidenciale dhe për të marrë përsipër llogari. Studiuesit nga GitHub nuk përjashtojnë që aktiviteti keqdashës nuk është i kufizuar në NetBeans dhe mund të ketë variante të tjera të Octopus Scanner që janë të ngulitura në procesin e ndërtimit bazuar në Make, MsBuild, Gradle dhe sisteme të tjera për t'u përhapur vetë.
Emrat e projekteve të prekura nuk përmenden, por mund të përmenden lehtësisht përmes një kërkimi në GitHub duke përdorur maskën “cache.dat”. Ndër projektet në të cilat u gjetën gjurmë të aktivitetit keqdashës: , , , , , , , , , , , , .
Burimi: opennet.ru