ГитХуб Злонамерни софтвер који напада пројекте у НетБеанс ИДЕ-у и користи процес изградње да се шири. Истрага је показала да су коришћењем дотичног малвера, који је добио име Оцтопус Сцаннер, позадинска врата прикривено интегрисана у 26 отворених пројеката са репозиторијумима на ГитХуб-у. Први трагови манифестације Оцтопус Сцаннер датирају из августа 2018. године.
Злонамерни софтвер је у стању да идентификује НетБеанс пројектне датотеке и дода свој код у пројектне датотеке и компајлиране ЈАР датотеке. Алгоритам рада се своди на проналажење НетБеанс директоријума са пројектима корисника, набрајање свих пројеката у овом директоријуму, копирање злонамерне скрипте у и уношење измена у датотеку да позовете ову скрипту сваки пут када се пројекат изгради. Када се склопи, копија злонамерног софтвера је укључена у резултирајуће ЈАР датотеке, које постају извор даље дистрибуције. На пример, злонамерне датотеке су постављене у репозиторијуме горе поменутих 26 пројеката отвореног кода, као и разне друге пројекте приликом објављивања буилдова нових издања.
Када је заражену ЈАР датотеку преузео и покренуо други корисник, почео је још један циклус тражења НетБеанс-а и увођења злонамерног кода на његов систем, што одговара оперативном моделу рачунарских вируса који се сами шире. Поред функционалности самопропагације, злонамерни код укључује и бацкдоор функционалност за обезбеђивање даљинског приступа систему. У време инцидента, сервери за контролу позадинских врата (Ц&Ц) нису били активни.
Укупно, приликом проучавања погођених пројеката, идентификоване су 4 варијанте инфекције. У једној од опција, за активирање бацкдоор-а у Линуксу, креирана је аутостарт датотека „$ХОМЕ/.цонфиг/аутостарт/оцто.десктоп“, ау Виндовс-у су покренути задаци преко сцхтаскс-а за њено покретање. Друге креиране датотеке укључују:
- $ХОМЕ/.лоцал/схаре/ббауто
- $ХОМЕ/.цонфиг/аутостарт/ноне.десктоп
- $ХОМЕ/.цонфиг/аутостарт/.десктоп
- $ХОМЕ/.лоцал/схаре/Маин.цласс
- $ХОМЕ/Либрари/ЛаунцхАгентс/АутоУпдатер.дат
- $ХОМЕ/Либрари/ЛаунцхАгентс/АутоУпдатер.плист
- $ХОМЕ/Либрари/ЛаунцхАгентс/СофтвареСинц.плист
- $ХОМЕ/Либрари/ЛаунцхАгентс/Маин.цласс
Бацкдоор би се могао користити за додавање обележивача коду који је развио програмер, цурење кода власничких система, крађу поверљивих података и преузимање налога. Истраживачи са ГитХуб-а не искључују да злонамерна активност није ограничена на НетБеанс и да могу постојати друге варијанте Оцтопус Сцаннер-а које су уграђене у процес прављења засноване на Маке, МсБуилд, Градле и другим системима да би се сами ширили.
Имена погођених пројеката се не помињу, али лако могу бити кроз претрагу у ГитХуб-у користећи маску „цацхе.дат“. Међу пројектима у којима су пронађени трагови злонамерне активности: , , , , , , , , , , , , .
Извор: опеннет.ру