GitHub
Phần mềm độc hại có thể xác định các tệp dự án NetBeans và thêm mã của nó vào các tệp dự án cũng như các tệp JAR đã biên dịch. Thuật toán công việc tập trung vào việc tìm thư mục NetBeans chứa các dự án của người dùng, liệt kê tất cả các dự án trong thư mục này, sao chép tập lệnh độc hại vào
Khi tệp JAR bị nhiễm được một người dùng khác tải xuống và khởi chạy, một chu kỳ tìm kiếm NetBeans và giới thiệu mã độc khác lại bắt đầu trên hệ thống của anh ta, tương ứng với mô hình hoạt động của virus máy tính tự lan truyền. Ngoài chức năng tự lan truyền, mã độc còn có chức năng cửa sau để cung cấp quyền truy cập từ xa vào hệ thống. Vào thời điểm xảy ra sự cố, máy chủ kiểm soát cửa sau (C&C) không hoạt động.
Tổng cộng, khi nghiên cứu các dự án bị ảnh hưởng, 4 biến thể lây nhiễm đã được xác định. Trong một trong các tùy chọn, để kích hoạt cửa sau trong Linux, một tệp tự khởi động “$HOME/.config/autostart/octo.desktop” đã được tạo và trong Windows, các tác vụ được khởi chạy thông qua schtasks để khởi chạy nó. Các tệp khác được tạo bao gồm:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Thư viện/LaunchAgents/AutoUpdater.dat
- $HOME/Thư viện/LaunchAgents/AutoUpdater.plist
- $HOME/Thư viện/LaunchAgents/SoftwareSync.plist
- $HOME/Thư viện/LaunchAgents/Main.class
Cửa sau có thể được sử dụng để thêm dấu trang vào mã do nhà phát triển phát triển, rò rỉ mã của hệ thống độc quyền, đánh cắp dữ liệu bí mật và chiếm đoạt tài khoản. Các nhà nghiên cứu từ GitHub không loại trừ rằng hoạt động độc hại không chỉ giới hạn ở NetBeans và có thể có các biến thể khác của Octopus Scanner được nhúng trong quá trình xây dựng dựa trên Make, MsBuild, Gradle và các hệ thống khác để tự lây lan.
Tên của các dự án bị ảnh hưởng không được đề cập, nhưng chúng có thể dễ dàng bị tiết lộ.
Nguồn: opennet.ru