پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > میلویئر جو نیٹ بینز پر حملہ کرتا ہے تاکہ بلٹ پراجیکٹس میں بیک ڈور انجیکشن کر سکے۔

میلویئر جو نیٹ بینز پر حملہ کرتا ہے تاکہ بلٹ پراجیکٹس میں بیک ڈور انجیکشن کر سکے۔

GitHub کے شناخت کی میل ویئر جو نیٹ بینز IDE میں پروجیکٹوں پر حملہ کرتا ہے اور خود کو پھیلانے کے لیے تعمیراتی عمل کا استعمال کرتا ہے۔ تحقیقات سے پتہ چلتا ہے کہ سوال میں مالویئر کا استعمال کرتے ہوئے، جسے آکٹوپس سکینر کا نام دیا گیا تھا، پچھلے دروازوں کو خفیہ طور پر گٹ ہب پر ریپوزٹریوں کے ساتھ 26 کھلے منصوبوں میں ضم کیا گیا تھا۔ آکٹوپس سکینر کے مظہر کے پہلے نشانات اگست 2018 کے ہیں۔

میلویئر NetBeans پروجیکٹ فائلوں کی شناخت کرنے اور اس کے کوڈ کو پروجیکٹ فائلوں اور مرتب کردہ JAR فائلوں میں شامل کرنے کے قابل ہے۔ کام کا الگورتھم صارف کے پروجیکٹس کے ساتھ NetBeans ڈائرکٹری کو تلاش کرنے، اس ڈائرکٹری میں موجود تمام پروجیکٹس کی گنتی، بدنیتی پر مبنی اسکرپٹ کو کاپی کرنے پر ابلتا ہے۔ nbproject/cache.dat اور فائل میں تبدیلیاں کرنا nbproject/build-impl.xml جب بھی پروجیکٹ بنتا ہے اس اسکرپٹ کو کال کرنا۔ جمع ہونے پر، نتیجے میں آنے والی JAR فائلوں میں میلویئر کی ایک کاپی شامل کی جاتی ہے، جو مزید تقسیم کا ذریعہ بن جاتی ہے۔ مثال کے طور پر، نقصان دہ فائلیں اوپر بیان کردہ 26 اوپن سورس پروجیکٹس کے ریپوزٹریز میں پوسٹ کی گئی تھیں، اور ساتھ ہی نئی ریلیز کی تعمیرات شائع کرتے وقت مختلف دیگر پروجیکٹس۔

جب ایک اور صارف نے متاثرہ JAR فائل کو ڈاؤن لوڈ اور لانچ کیا، تو اس کے سسٹم پر NetBeans کو تلاش کرنے اور بدنیتی پر مبنی کوڈ متعارف کرانے کا ایک اور سلسلہ شروع ہوا، جو خود کو پھیلانے والے کمپیوٹر وائرس کے آپریشن کے ماڈل سے مطابقت رکھتا ہے۔ خود کو پھیلانے کی فعالیت کے علاوہ، بدنیتی پر مبنی کوڈ میں سسٹم تک ریموٹ رسائی فراہم کرنے کے لیے بیک ڈور فعالیت بھی شامل ہے۔ واقعے کے وقت، بیک ڈور کنٹرول (سی اینڈ سی) سرورز فعال نہیں تھے۔

میلویئر جو نیٹ بینز پر حملہ کرتا ہے تاکہ بلٹ پراجیکٹس میں بیک ڈور انجیکشن کر سکے۔

مجموعی طور پر، متاثرہ منصوبوں کا مطالعہ کرتے وقت، انفیکشن کی 4 اقسام کی نشاندہی کی گئی۔ آپشنز میں سے ایک میں، لینکس میں بیک ڈور کو چالو کرنے کے لیے، ایک آٹو اسٹارٹ فائل "$HOME/.config/autostart/octo.desktop" بنائی گئی تھی، اور ونڈوز میں، اسے لانچ کرنے کے لیے schtasks کے ذریعے کام شروع کیے گئے تھے۔ تخلیق کردہ دیگر فائلوں میں شامل ہیں:

  • $HOME/.local/share/bbauto
  • $HOME/.config/autostar/none.desktop
  • $HOME/.config/autostart/.desktop
  • $HOME/.local/share/Main.class
  • $HOME/Library/LaunchAgents/AutoUpdater.dat
  • $HOME/Library/LaunchAgents/AutoUpdater.plist
  • $HOME/Library/LaunchAgents/SoftwareSync.plist
  • $HOME/Library/LaunchAgents/Main.class

بیک ڈور کا استعمال ڈویلپر کے تیار کردہ کوڈ میں بُک مارکس شامل کرنے، ملکیتی نظام کا کوڈ لیک کرنے، خفیہ ڈیٹا چوری کرنے اور اکاؤنٹس پر قبضہ کرنے کے لیے استعمال کیا جا سکتا ہے۔ GitHub کے محققین اس بات کو مسترد نہیں کرتے ہیں کہ بدنیتی پر مبنی سرگرمی صرف NetBeans تک محدود نہیں ہے اور Octopus Scanner کی دوسری قسمیں بھی ہو سکتی ہیں جو میک، MsBuild، Gradle اور دیگر سسٹمز پر مبنی تعمیراتی عمل میں شامل ہیں تاکہ خود کو پھیلا سکیں۔

متاثرہ منصوبوں کے نام نہیں بتائے گئے لیکن وہ آسانی سے ہو سکتے ہیں۔ تلاش کرنے کے لئے "cache.dat" ماسک کا استعمال کرتے ہوئے GitHub میں تلاش کے ذریعے۔ ان منصوبوں میں سے جن میں بدنیتی پر مبنی سرگرمی کے آثار پائے گئے: V2Mp3Player, جاوا پیک مین, کوسم-فریم ورک, پنٹو ڈی وینٹا, 2D-فزکس-سمولیشنز, پیک مین گیم, جانوروں کا اندازہ لگائیں۔, سانپ سینٹر باکس 4, Secuencia Numerica, کال سینٹر, پروجیکٹو جیرونڈیو, pacman-java_ia, SuperMario-FR-.

ماخذ: opennet.ru

نیا تبصرہ شامل کریں