GitHub
มัลแวร์สามารถระบุไฟล์โปรเจ็กต์ NetBeans และเพิ่มโค้ดลงในไฟล์โปรเจ็กต์และไฟล์ JAR ที่คอมไพล์แล้ว อัลกอริธึมการทำงานค้นหาไดเร็กทอรี NetBeans ด้วยโปรเจ็กต์ของผู้ใช้ โดยแจกแจงโปรเจ็กต์ทั้งหมดในไดเร็กทอรีนี้ คัดลอกสคริปต์ที่เป็นอันตรายไปที่
เมื่อไฟล์ JAR ที่ติดไวรัสถูกดาวน์โหลดและเปิดใช้งานโดยผู้ใช้รายอื่น การค้นหา NetBeans อีกครั้งและการแนะนำโค้ดที่เป็นอันตรายก็เริ่มขึ้นในระบบของเขา ซึ่งสอดคล้องกับรูปแบบการทำงานของไวรัสคอมพิวเตอร์ที่แพร่กระจายด้วยตนเอง นอกเหนือจากฟังก์ชันการแพร่กระจายด้วยตนเองแล้ว โค้ดที่เป็นอันตรายยังรวมถึงฟังก์ชันแบ็คดอร์เพื่อให้สามารถเข้าถึงระบบจากระยะไกลได้ ในขณะที่เกิดเหตุการณ์ เซิร์ฟเวอร์ควบคุมประตูหลัง (C&C) ไม่ได้ทำงานอยู่
โดยรวมแล้ว เมื่อศึกษาโครงการที่ได้รับผลกระทบ พบการติดเชื้อ 4 สายพันธุ์ ในหนึ่งในตัวเลือก เพื่อเปิดใช้งานแบ็คดอร์ใน Linux ไฟล์เริ่มอัตโนมัติ “$HOME/.config/autostart/octo.desktop” ได้ถูกสร้างขึ้น และใน Windows งานต่างๆ จะถูกเรียกใช้ผ่าน schtasks เพื่อเปิดใช้งาน ไฟล์อื่นๆ ที่สร้างขึ้นได้แก่:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
แบ็คดอร์สามารถใช้เพื่อเพิ่มบุ๊กมาร์กลงในโค้ดที่พัฒนาโดยนักพัฒนา โค้ดรั่วไหลของระบบที่เป็นกรรมสิทธิ์ ขโมยข้อมูลที่เป็นความลับ และเข้ายึดบัญชี นักวิจัยจาก GitHub ไม่ได้ออกกฎว่ากิจกรรมที่เป็นอันตรายไม่ได้จำกัดอยู่แค่ NetBeans และอาจมี Octopus Scanner รุ่นอื่นๆ ที่ฝังอยู่ในกระบวนการสร้างตาม Make, MsBuild, Gradle และระบบอื่นๆ เพื่อแพร่กระจายตัวเอง
ชื่อของโครงการที่ได้รับผลกระทบไม่ได้ถูกกล่าวถึง แต่สามารถระบุได้ง่าย
ที่มา: opennet.ru