GitHub NetBeans IDE'deki projelere saldıran ve kendisini yaymak için derleme sürecini kullanan kötü amaçlı yazılım. Araştırma, Octopus Scanner adı verilen söz konusu kötü amaçlı yazılım kullanılarak arka kapıların GitHub'da depoları bulunan 26 açık projeye gizlice entegre edildiğini gösterdi. Ahtapot Tarayıcı tezahürünün ilk izleri Ağustos 2018'e kadar uzanıyor.
Kötü amaçlı yazılım, NetBeans proje dosyalarını tanımlayabiliyor ve kodunu proje dosyalarına ve derlenmiş JAR dosyalarına ekleyebiliyor. Çalışma algoritması, kullanıcının projelerini içeren NetBeans dizinini bulmaya, bu dizindeki tüm projeleri numaralandırmaya ve kötü amaçlı komut dosyasını bu dizine kopyalamaya kadar uzanır. ve dosyada değişiklik yapma proje her oluşturulduğunda bu betiği çağırmak için. Birleştirildiğinde, kötü amaçlı yazılımın bir kopyası ortaya çıkan JAR dosyalarına dahil edilir ve bu dosyalar daha fazla dağıtım kaynağı haline gelir. Örneğin, yeni sürümlerin yapılarını yayınlarken, yukarıda bahsedilen 26 açık kaynak projesinin yanı sıra çeşitli diğer projelerin depolarına kötü amaçlı dosyalar gönderildi.
Virüslü JAR dosyası başka bir kullanıcı tarafından indirilip başlatıldığında, kendi kendine yayılan bilgisayar virüslerinin işletim modeline karşılık gelen, kendi sistemine NetBeans arama ve kötü amaçlı kod ekleme döngüsü başladı. Kötü amaçlı kod, kendi kendine yayılma işlevinin yanı sıra, sisteme uzaktan erişim sağlamak için arka kapı işlevini de içerir. Olay anında arka kapı kontrolü (C&C) sunucuları aktif değildi.
Etkilenen projeleri incelerken toplamda 4 enfeksiyon türü tanımlandı. Seçeneklerden birinde, Linux'ta arka kapıyı etkinleştirmek için, "$HOME/.config/autostart/octo.desktop" otomatik başlatma dosyası oluşturuldu ve Windows'ta, onu başlatmak için görevler schtasks aracılığıyla başlatıldı. Oluşturulan diğer dosyalar şunları içerir:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Arka kapı, geliştirici tarafından geliştirilen koda yer imleri eklemek, özel sistemlerin kodunu sızdırmak, gizli verileri çalmak ve hesapları ele geçirmek için kullanılabilir. GitHub'dan araştırmacılar, kötü niyetli etkinliklerin NetBeans ile sınırlı olmadığını ve Make, MsBuild, Gradle ve kendilerini yaymak için diğer sistemlere dayanan derleme sürecine gömülü başka Octopus Scanner çeşitlerinin de olabileceğini göz ardı etmiyor.
Etkilenen projelerin isimleri belirtilmese de kolaylıkla belirlenebilir. GitHub'da “cache.dat” maskesini kullanarak bir arama yaparak. Kötü niyetli faaliyet izlerinin bulunduğu projeler arasında: , , , , , , , , , , , , .
Kaynak: opennet.ru