GitHub
Skadlig programvara kan identifiera NetBeans-projektfiler och lägga till sin kod till projektfilerna och kompilerade JAR-filer. Arbetsalgoritmen går ut på att hitta NetBeans-katalogen med användarens projekt, räkna upp alla projekt i denna katalog, kopiera det skadliga skriptet till
När den infekterade JAR-filen laddades ner och lanserades av en annan användare, började en annan cykel av att söka efter NetBeans och införa skadlig kod på hans system, vilket motsvarar operativsystemet för självförökande datavirus. Förutom självspridningsfunktioner inkluderar den skadliga koden även bakdörrsfunktionalitet för att ge fjärråtkomst till systemet. Vid tidpunkten för händelsen var servrarna för bakdörrskontroll (C&C) inte aktiva.
Totalt, när man studerade de drabbade projekten, identifierades 4 varianter av infektion. I ett av alternativen, för att aktivera bakdörren i Linux, skapades en autostartfil "$HOME/.config/autostart/octo.desktop", och i Windows lanserades uppgifter via schtasks för att starta den. Andra skapade filer inkluderar:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Bakdörren kan användas för att lägga till bokmärken till koden som utvecklats av utvecklaren, läcka kod för proprietära system, stjäla konfidentiell data och ta över konton. Forskare från GitHub utesluter inte att skadlig aktivitet inte är begränsad till NetBeans och det kan finnas andra varianter av Octopus Scanner som är inbäddade i byggprocessen baserat på Make, MsBuild, Gradle och andra system för att sprida sig själva.
Namnen på de berörda projekten nämns inte, men de kan lätt bli det
Källa: opennet.ru