GitHub
Nagagawa ng malware na tukuyin ang mga file ng proyekto ng NetBeans at idagdag ang code nito sa mga file ng proyekto at mga pinagsama-samang JAR file. Ang algorithm ng trabaho ay nagmumula sa paghahanap ng direktoryo ng NetBeans kasama ng mga proyekto ng gumagamit, pag-enumerate ng lahat ng mga proyekto sa direktoryong ito, pagkopya ng malisyosong script sa
Kapag ang isa pang user ay nag-download at naglunsad ng nahawaang JAR file, ang isa pang cycle ng paghahanap para sa NetBeans at pagpapakilala ng malisyosong code ay nagsimula sa kanyang system, na tumutugma sa modelo ng pagpapatakbo ng mga nagpapalaganap ng sarili na mga virus ng computer. Bilang karagdagan sa pagpapagana ng pagpapalaganap sa sarili, kasama rin sa malisyosong code ang backdoor functionality upang magbigay ng malayuang pag-access sa system. Sa oras ng insidente, ang mga server ng backdoor control (C&C) ay hindi aktibo.
Sa kabuuan, kapag pinag-aaralan ang mga apektadong proyekto, 4 na variant ng impeksyon ang natukoy. Sa isa sa mga opsyon, para i-activate ang backdoor sa Linux, isang autostart file na β$HOME/.config/autostart/octo.desktopβ ang ginawa, at sa Windows, inilunsad ang mga gawain sa pamamagitan ng schtasks para ilunsad ito. Kasama sa iba pang mga file na nilikha ang:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Maaaring gamitin ang backdoor upang magdagdag ng mga bookmark sa code na binuo ng developer, mag-leak ng code ng mga proprietary system, magnakaw ng kumpidensyal na data at kumuha ng mga account. Hindi ibinubukod ng mga mananaliksik mula sa GitHub na ang nakakahamak na aktibidad ay hindi limitado sa NetBeans at maaaring may iba pang variant ng Octopus Scanner na naka-embed sa proseso ng pagbuo batay sa Make, MsBuild, Gradle at iba pang mga system para maikalat ang kanilang mga sarili.
Ang mga pangalan ng mga apektadong proyekto ay hindi binanggit, ngunit madali silang mabanggit
Pinagmulan: opennet.ru