โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > มัลแวร์ที่โจมตี NetBeans เพื่อแทรกแบ็คดอร์เข้าไปในโปรเจ็กต์ที่สร้างขึ้น

มัลแวร์ที่โจมตี NetBeans เพื่อแทรกแบ็คดอร์เข้าไปในโปรเจ็กต์ที่สร้างขึ้น

GitHub ระบุ มัลแวร์ที่โจมตีโปรเจ็กต์ใน NetBeans IDE และใช้กระบวนการสร้างเพื่อแพร่กระจายตัวเอง การสืบสวนพบว่าการใช้มัลแวร์ที่เป็นปัญหาซึ่งมีชื่อเรียกว่า Octopus Scanner แบ็คดอร์ถูกรวมเข้ากับโปรเจ็กต์ที่เปิดอยู่ 26 โปรเจ็กต์พร้อมที่เก็บข้อมูลบน GitHub อย่างซ่อนเร้น ร่องรอยแรกของการปรากฏตัวของ Octopus Scanner ย้อนกลับไปในเดือนสิงหาคม 2018

มัลแวร์สามารถระบุไฟล์โปรเจ็กต์ NetBeans และเพิ่มโค้ดลงในไฟล์โปรเจ็กต์และไฟล์ JAR ที่คอมไพล์แล้ว อัลกอริธึมการทำงานค้นหาไดเร็กทอรี NetBeans ด้วยโปรเจ็กต์ของผู้ใช้ โดยแจกแจงโปรเจ็กต์ทั้งหมดในไดเร็กทอรีนี้ คัดลอกสคริปต์ที่เป็นอันตรายไปที่ nbproject/cache.dat และทำการเปลี่ยนแปลงไฟล์ nbproject/build-impl.xml เพื่อเรียกสคริปต์นี้ทุกครั้งที่สร้างโปรเจ็กต์ เมื่อประกอบเข้าด้วยกัน สำเนาของมัลแวร์จะรวมอยู่ในไฟล์ JAR ที่เป็นผลลัพธ์ ซึ่งกลายเป็นแหล่งของการเผยแพร่เพิ่มเติม ตัวอย่างเช่น ไฟล์ที่เป็นอันตรายถูกโพสต์ไปยังพื้นที่เก็บข้อมูลของโครงการโอเพ่นซอร์ส 26 โครงการที่กล่าวถึงข้างต้น รวมถึงโครงการอื่น ๆ อีกมากมายเมื่อเผยแพร่บิลด์ของรุ่นใหม่

เมื่อไฟล์ JAR ที่ติดไวรัสถูกดาวน์โหลดและเปิดใช้งานโดยผู้ใช้รายอื่น การค้นหา NetBeans อีกครั้งและการแนะนำโค้ดที่เป็นอันตรายก็เริ่มขึ้นในระบบของเขา ซึ่งสอดคล้องกับรูปแบบการทำงานของไวรัสคอมพิวเตอร์ที่แพร่กระจายด้วยตนเอง นอกเหนือจากฟังก์ชันการแพร่กระจายด้วยตนเองแล้ว โค้ดที่เป็นอันตรายยังรวมถึงฟังก์ชันแบ็คดอร์เพื่อให้สามารถเข้าถึงระบบจากระยะไกลได้ ในขณะที่เกิดเหตุการณ์ เซิร์ฟเวอร์ควบคุมประตูหลัง (C&C) ไม่ได้ทำงานอยู่

มัลแวร์ที่โจมตี NetBeans เพื่อแทรกแบ็คดอร์เข้าไปในโปรเจ็กต์ที่สร้างขึ้น

โดยรวมแล้ว เมื่อศึกษาโครงการที่ได้รับผลกระทบ พบการติดเชื้อ 4 สายพันธุ์ ในหนึ่งในตัวเลือก เพื่อเปิดใช้งานแบ็คดอร์ใน Linux ไฟล์เริ่มอัตโนมัติ “$HOME/.config/autostart/octo.desktop” ได้ถูกสร้างขึ้น และใน Windows งานต่างๆ จะถูกเรียกใช้ผ่าน schtasks เพื่อเปิดใช้งาน ไฟล์อื่นๆ ที่สร้างขึ้นได้แก่:

  • $HOME/.local/share/bbauto
  • $HOME/.config/autostart/none.desktop
  • $HOME/.config/autostart/.desktop
  • $HOME/.local/share/Main.class
  • $HOME/Library/LaunchAgents/AutoUpdater.dat
  • $HOME/Library/LaunchAgents/AutoUpdater.plist
  • $HOME/Library/LaunchAgents/SoftwareSync.plist
  • $HOME/Library/LaunchAgents/Main.class

แบ็คดอร์สามารถใช้เพื่อเพิ่มบุ๊กมาร์กลงในโค้ดที่พัฒนาโดยนักพัฒนา โค้ดรั่วไหลของระบบที่เป็นกรรมสิทธิ์ ขโมยข้อมูลที่เป็นความลับ และเข้ายึดบัญชี นักวิจัยจาก GitHub ไม่ได้ออกกฎว่ากิจกรรมที่เป็นอันตรายไม่ได้จำกัดอยู่แค่ NetBeans และอาจมี Octopus Scanner รุ่นอื่นๆ ที่ฝังอยู่ในกระบวนการสร้างตาม Make, MsBuild, Gradle และระบบอื่นๆ เพื่อแพร่กระจายตัวเอง

ชื่อของโครงการที่ได้รับผลกระทบไม่ได้ถูกกล่าวถึง แต่สามารถระบุได้ง่าย เพื่อค้นหา ผ่านการค้นหาใน GitHub โดยใช้มาสก์ “cache.dat” ในบรรดาโครงการที่พบร่องรอยของกิจกรรมที่เป็นอันตราย: V2Mp3Player, ชวาแพ็กแมน, โคซิม-กรอบงาน, ปุนโต เด เวนตา, 2D-ฟิสิกส์-จำลอง, Pacmanเกม, เดาสัตว์, SnakeCenterBox4, เซคิวเอนเซีย นูเมริกา, ศูนย์รับแจ้ง, ProyectoGerundio, pacman-java_ia, SuperMario-FR-.

ที่มา: opennet.ru

เพิ่มความคิดเห็น