GitHub
Kötü amaçlı yazılım, NetBeans proje dosyalarını tanımlayabiliyor ve kodunu proje dosyalarına ve derlenmiş JAR dosyalarına ekleyebiliyor. Çalışma algoritması, kullanıcının projelerini içeren NetBeans dizinini bulmaya, bu dizindeki tüm projeleri numaralandırmaya ve kötü amaçlı komut dosyasını bu dizine kopyalamaya kadar uzanır.
Virüslü JAR dosyası başka bir kullanıcı tarafından indirilip başlatıldığında, kendi kendine yayılan bilgisayar virüslerinin işletim modeline karşılık gelen, kendi sistemine NetBeans arama ve kötü amaçlı kod ekleme döngüsü başladı. Kötü amaçlı kod, kendi kendine yayılma işlevinin yanı sıra, sisteme uzaktan erişim sağlamak için arka kapı işlevini de içerir. Olay anında arka kapı kontrolü (C&C) sunucuları aktif değildi.
Etkilenen projeleri incelerken toplamda 4 enfeksiyon türü tanımlandı. Seçeneklerden birinde, Linux'ta arka kapıyı etkinleştirmek için, "$HOME/.config/autostart/octo.desktop" otomatik başlatma dosyası oluşturuldu ve Windows'ta, onu başlatmak için görevler schtasks aracılığıyla başlatıldı. Oluşturulan diğer dosyalar şunları içerir:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Arka kapı, geliştirici tarafından geliştirilen koda yer imleri eklemek, özel sistemlerin kodunu sızdırmak, gizli verileri çalmak ve hesapları ele geçirmek için kullanılabilir. GitHub'dan araştırmacılar, kötü niyetli etkinliklerin NetBeans ile sınırlı olmadığını ve Make, MsBuild, Gradle ve kendilerini yaymak için diğer sistemlere dayanan derleme sürecine gömülü başka Octopus Scanner çeşitlerinin de olabileceğini göz ardı etmiyor.
Etkilenen projelerin isimleri belirtilmese de kolaylıkla belirlenebilir.
Kaynak: opennet.ru