GitHub Malware na umaatake sa mga proyekto sa NetBeans IDE at ginagamit ang proseso ng pagbuo upang maikalat ang sarili nito. Ang pagsisiyasat ay nagpakita na gamit ang malware na pinag-uusapan, na binigyan ng pangalang Octopus Scanner, ang mga backdoor ay lihim na isinama sa 26 na bukas na proyekto na may mga repositoryo sa GitHub. Ang mga unang bakas ng pagpapakita ng Octopus Scanner ay nagsimula noong Agosto 2018.
Nagagawa ng malware na tukuyin ang mga file ng proyekto ng NetBeans at idagdag ang code nito sa mga file ng proyekto at mga pinagsama-samang JAR file. Ang algorithm ng trabaho ay nagmumula sa paghahanap ng direktoryo ng NetBeans kasama ng mga proyekto ng gumagamit, pag-enumerate ng lahat ng mga proyekto sa direktoryong ito, pagkopya ng malisyosong script sa at paggawa ng mga pagbabago sa file na tawagan ang script na ito sa tuwing ibubuo ang proyekto. Kapag binuo, ang isang kopya ng malware ay kasama sa mga nagresultang JAR file, na nagiging mapagkukunan ng karagdagang pamamahagi. Halimbawa, ang mga nakakahamak na file ay nai-post sa mga repository ng nabanggit sa itaas na 26 na open source na proyekto, pati na rin ang iba't ibang mga proyekto kapag nag-publish ng mga build ng mga bagong release.
Kapag ang isa pang user ay nag-download at naglunsad ng nahawaang JAR file, ang isa pang cycle ng paghahanap para sa NetBeans at pagpapakilala ng malisyosong code ay nagsimula sa kanyang system, na tumutugma sa modelo ng pagpapatakbo ng mga nagpapalaganap ng sarili na mga virus ng computer. Bilang karagdagan sa pagpapagana ng pagpapalaganap sa sarili, kasama rin sa malisyosong code ang backdoor functionality upang magbigay ng malayuang pag-access sa system. Sa oras ng insidente, ang mga server ng backdoor control (C&C) ay hindi aktibo.
Sa kabuuan, kapag pinag-aaralan ang mga apektadong proyekto, 4 na variant ng impeksyon ang natukoy. Sa isa sa mga opsyon, para i-activate ang backdoor sa Linux, isang autostart file na β$HOME/.config/autostart/octo.desktopβ ang ginawa, at sa Windows, inilunsad ang mga gawain sa pamamagitan ng schtasks para ilunsad ito. Kasama sa iba pang mga file na nilikha ang:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Maaaring gamitin ang backdoor upang magdagdag ng mga bookmark sa code na binuo ng developer, mag-leak ng code ng mga proprietary system, magnakaw ng kumpidensyal na data at kumuha ng mga account. Hindi ibinubukod ng mga mananaliksik mula sa GitHub na ang nakakahamak na aktibidad ay hindi limitado sa NetBeans at maaaring may iba pang variant ng Octopus Scanner na naka-embed sa proseso ng pagbuo batay sa Make, MsBuild, Gradle at iba pang mga system para maikalat ang kanilang mga sarili.
Ang mga pangalan ng mga apektadong proyekto ay hindi binanggit, ngunit madali silang mabanggit sa pamamagitan ng paghahanap sa GitHub gamit ang βcache.datβ mask. Kabilang sa mga proyekto kung saan natagpuan ang mga bakas ng malisyosong aktibidad: , , , , , , , , , , , , .
Pinagmulan: opennet.ru