GitHub
Шкідливе ПЗ здатне виявляти файли з проектами NetBeans і додавати свій код у файли проекту та збирані JAR-файли. Алгоритм роботи зводиться до знаходження каталогу NetBeans з проектами користувача, перебору всіх проектів у даному каталозі, копіюванню шкідливого сценарію
При завантаженні та запуску враженого JAR-файлу іншим користувачем, на його системі починався черговий цикл пошуку NetBeans і впровадження шкідливого коду, що відповідає моделі роботи комп'ютерних вірусів, що самопоширюються. Крім функціональності для саморозповсюдження, шкідливий код також включає функції бекдору для надання віддаленого доступу до системи. На момент аналізу інциденту керуючі бекдором сервери (C&C) не були активними.
Усього щодо уражених проектів було виявлено 4 варіанти інфікування. В одному з варіантів для активації бекдору в Linux створювався файл автозапуску $HOME/.config/autostart/octo.desktop, а в Windows для запуску застосовувався запуск завдань через schtasks. Серед інших створюваних файлів:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Бекдор міг використовуватися для додавання закладок в код, що розвивається розробником, організації витоку коду пропрієтарних систем, крадіжки конфіденційних даних і захоплення облікових записів. Дослідники з GitHub не виключають, що шкідлива діяльність не обмежується NetBeans і можуть існувати інші варіанти Octopus Scanner, що впроваджуються для поширення в процес складання на базі Make, MsBuild, Gradle та інших систем.
Назви уражених проектів не згадується, але їх легко можна
Джерело: opennet.ru