GitHub Phần mềm độc hại tấn công các dự án trong NetBeans IDE và sử dụng quá trình xây dựng để tự phát tán. Cuộc điều tra cho thấy rằng bằng cách sử dụng phần mềm độc hại được đề cập, có tên là Octopus Scanner, các cửa hậu đã được tích hợp bí mật vào 26 dự án mở có kho lưu trữ trên GitHub. Dấu vết đầu tiên của biểu hiện Octopus Scanner có từ tháng 2018 năm XNUMX.
Phần mềm độc hại có thể xác định các tệp dự án NetBeans và thêm mã của nó vào các tệp dự án cũng như các tệp JAR đã biên dịch. Thuật toán công việc tập trung vào việc tìm thư mục NetBeans chứa các dự án của người dùng, liệt kê tất cả các dự án trong thư mục này, sao chép tập lệnh độc hại vào và thực hiện các thay đổi đối với tập tin để gọi tập lệnh này mỗi khi dự án được xây dựng. Khi được tập hợp, một bản sao của phần mềm độc hại sẽ được đưa vào các tệp JAR thu được, chúng sẽ trở thành nguồn phân phối tiếp theo. Ví dụ: các tệp độc hại đã được đăng lên kho lưu trữ của 26 dự án nguồn mở nêu trên, cũng như nhiều dự án khác khi xuất bản các bản dựng của bản phát hành mới.
Khi tệp JAR bị nhiễm được một người dùng khác tải xuống và khởi chạy, một chu kỳ tìm kiếm NetBeans và giới thiệu mã độc khác lại bắt đầu trên hệ thống của anh ta, tương ứng với mô hình hoạt động của virus máy tính tự lan truyền. Ngoài chức năng tự lan truyền, mã độc còn có chức năng cửa sau để cung cấp quyền truy cập từ xa vào hệ thống. Vào thời điểm xảy ra sự cố, máy chủ kiểm soát cửa sau (C&C) không hoạt động.
Tổng cộng, khi nghiên cứu các dự án bị ảnh hưởng, 4 biến thể lây nhiễm đã được xác định. Trong một trong các tùy chọn, để kích hoạt cửa sau trong Linux, một tệp tự khởi động “$HOME/.config/autostart/octo.desktop” đã được tạo và trong Windows, các tác vụ được khởi chạy thông qua schtasks để khởi chạy nó. Các tệp khác được tạo bao gồm:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Thư viện/LaunchAgents/AutoUpdater.dat
- $HOME/Thư viện/LaunchAgents/AutoUpdater.plist
- $HOME/Thư viện/LaunchAgents/SoftwareSync.plist
- $HOME/Thư viện/LaunchAgents/Main.class
Cửa sau có thể được sử dụng để thêm dấu trang vào mã do nhà phát triển phát triển, rò rỉ mã của hệ thống độc quyền, đánh cắp dữ liệu bí mật và chiếm đoạt tài khoản. Các nhà nghiên cứu từ GitHub không loại trừ rằng hoạt động độc hại không chỉ giới hạn ở NetBeans và có thể có các biến thể khác của Octopus Scanner được nhúng trong quá trình xây dựng dựa trên Make, MsBuild, Gradle và các hệ thống khác để tự lây lan.
Tên của các dự án bị ảnh hưởng không được đề cập, nhưng chúng có thể dễ dàng bị tiết lộ. thông qua tìm kiếm trong GitHub bằng mặt nạ “cache.dat”. Trong số các dự án có dấu vết hoạt động độc hại được tìm thấy: , , , , , , , , , , , , .
Nguồn: opennet.ru