GitHub шкідливе ПЗ, що вражає проекти в інтегрованому середовищі розробки NetBeans і використовує процес збирання свого поширення. Розслідування показало, що за допомогою шкідливого програмного забезпечення, якому присвоєно ім'я Octopus Scanner, були приховано інтегровані бекдори в 26 відкритих проектів, що мають репозиторії на GitHub. Перші сліди прояву Octopus Scanner датовані серпнем 2018 року.
Шкідливе ПЗ здатне виявляти файли з проектами NetBeans і додавати свій код у файли проекту та збирані JAR-файли. Алгоритм роботи зводиться до знаходження каталогу NetBeans з проектами користувача, перебору всіх проектів у даному каталозі, копіюванню шкідливого сценарію та внесення змін до файлу для виклику цього сценарію при кожній збірці проекту. При складанні копія шкідливого ПЗ включається в результуючі файли JAR, які стають джерелом подальшого розповсюдження. Наприклад, шкідливі файли були розміщені в репозиторіях вищезгаданих 26 відкритих проектів, а також іншими проектами при публікації збірок нових релізів.
При завантаженні та запуску враженого JAR-файлу іншим користувачем, на його системі починався черговий цикл пошуку NetBeans і впровадження шкідливого коду, що відповідає моделі роботи комп'ютерних вірусів, що самопоширюються. Крім функціональності для саморозповсюдження, шкідливий код також включає функції бекдору для надання віддаленого доступу до системи. На момент аналізу інциденту керуючі бекдором сервери (C&C) не були активними.
Усього щодо уражених проектів було виявлено 4 варіанти інфікування. В одному з варіантів для активації бекдору в Linux створювався файл автозапуску $HOME/.config/autostart/octo.desktop, а в Windows для запуску застосовувався запуск завдань через schtasks. Серед інших створюваних файлів:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Бекдор міг використовуватися для додавання закладок в код, що розвивається розробником, організації витоку коду пропрієтарних систем, крадіжки конфіденційних даних і захоплення облікових записів. Дослідники з GitHub не виключають, що шкідлива діяльність не обмежується NetBeans і можуть існувати інші варіанти Octopus Scanner, що впроваджуються для поширення в процес складання на базі Make, MsBuild, Gradle та інших систем.
Назви уражених проектів не згадується, але їх легко можна через пошук в GitHub по масці cache.dat. Серед проектів, у яких знайдено сліди шкідливої активності: , , , , , , , , , , , , .
Джерело: opennet.ru