GitHub上 攻击 NetBeans IDE 中的项目并使用构建过程进行自身传播的恶意软件。 调查显示,使用名为 Octopus Scanner 的相关恶意软件,后门被秘密集成到 GitHub 上存储库的 26 个开放项目中。 章鱼扫描仪的首次出现可以追溯到 2018 年 XNUMX 月。
该恶意软件能够识别 NetBeans 项目文件并将其代码添加到项目文件和编译的 JAR 文件中。 工作算法归结为查找包含用户项目的 NetBeans 目录,枚举该目录中的所有项目,将恶意脚本复制到 并对文件进行更改 每次构建项目时调用此脚本。 组装后,恶意软件的副本将包含在生成的 JAR 文件中,这些文件将成为进一步分发的来源。 例如,在发布新版本的版本时,恶意文件被发布到上述 26 个开源项目以及各种其他项目的存储库中。
当另一个用户下载并启动受感染的 JAR 文件时,他的系统上开始了另一个搜索 NetBeans 并引入恶意代码的循环,这对应于自我传播计算机病毒的运行模型。 除了自我传播功能外,恶意代码还包括后门功能,以提供对系统的远程访问。 事件发生时,后门控制 (C&C) 服务器未处于活动状态。
在对受影响项目的研究中,共发现了四种感染变种。其中一种变种涉及激活后门。 Linux 已创建自动启动文件“$HOME/.config/autostart/octo.desktop”,并且在 Windows 任务通过 schtasks 启动。创建的其他文件包括:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
该后门可用于向开发人员开发的代码添加书签、泄露专有系统的代码、窃取机密数据并接管帐户。 GitHub 的研究人员不排除恶意活动不仅限于 NetBeans,可能还有 Octopus Scanner 的其他变体嵌入到基于 Make、MsBuild、Gradle 等系统的构建过程中进行自我传播。
受影响项目的名称没有被提及,但它们很容易被提及 通过使用“cache.dat”掩码在 GitHub 中进行搜索。 在发现恶意活动痕迹的项目中: , , , , , , , , , , , , .
来源: opennet.ru
