GitHub Skadlig programvara som attackerar projekt i NetBeans IDE och använder byggprocessen för att sprida sig själv. Undersökningen visade att med hjälp av skadlig programvara i fråga, som fick namnet Octopus Scanner, integrerades bakdörrar i hemlighet i 26 öppna projekt med arkiv på GitHub. De första spåren av Octopus Scanner-manifestationen går tillbaka till augusti 2018.
Skadlig programvara kan identifiera NetBeans-projektfiler och lägga till sin kod till projektfilerna och kompilerade JAR-filer. Arbetsalgoritmen går ut på att hitta NetBeans-katalogen med användarens projekt, räkna upp alla projekt i denna katalog, kopiera det skadliga skriptet till och göra ändringar i filen att anropa det här skriptet varje gång projektet byggs. När den har monterats inkluderas en kopia av skadlig programvara i de resulterande JAR-filerna, som blir en källa för vidare distribution. Till exempel postades skadliga filer till arkiven för de ovan nämnda 26 projekt med öppen källkod, såväl som olika andra projekt vid publicering av versioner av nya utgåvor.
När den infekterade JAR-filen laddades ner och lanserades av en annan användare, började en annan cykel av att söka efter NetBeans och införa skadlig kod på hans system, vilket motsvarar operativsystemet för självförökande datavirus. Förutom självspridningsfunktioner inkluderar den skadliga koden även bakdörrsfunktionalitet för att ge fjärråtkomst till systemet. Vid tidpunkten för händelsen var servrarna för bakdörrskontroll (C&C) inte aktiva.
Totalt, när man studerade de drabbade projekten, identifierades 4 varianter av infektion. I ett av alternativen, för att aktivera bakdörren i Linux, skapades en autostartfil "$HOME/.config/autostart/octo.desktop", och i Windows lanserades uppgifter via schtasks för att starta den. Andra skapade filer inkluderar:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Bakdörren kan användas för att lägga till bokmärken till koden som utvecklats av utvecklaren, läcka kod för proprietära system, stjäla konfidentiell data och ta över konton. Forskare från GitHub utesluter inte att skadlig aktivitet inte är begränsad till NetBeans och det kan finnas andra varianter av Octopus Scanner som är inbäddade i byggprocessen baserat på Make, MsBuild, Gradle och andra system för att sprida sig själva.
Namnen på de berörda projekten nämns inte, men de kan lätt bli det genom en sökning i GitHub med "cache.dat"-masken. Bland de projekt där spår av skadlig aktivitet hittades: , , , , , , , , , , , , .
Källa: opennet.ru