GitHub上
该恶意软件能够识别 NetBeans 项目文件并将其代码添加到项目文件和编译的 JAR 文件中。 工作算法归结为查找包含用户项目的 NetBeans 目录,枚举该目录中的所有项目,将恶意脚本复制到
当另一个用户下载并启动受感染的 JAR 文件时,他的系统上开始了另一个搜索 NetBeans 并引入恶意代码的循环,这对应于自我传播计算机病毒的运行模型。 除了自我传播功能外,恶意代码还包括后门功能,以提供对系统的远程访问。 事件发生时,后门控制 (C&C) 服务器未处于活动状态。
在研究受影响的项目时,总共发现了 4 种感染变体。 在其中一个选项中,为了在 Linux 上激活后门,会创建一个自动启动文件“$HOME/.config/autostart/octo.desktop”,而在 Windows 上,任务是通过 schtasks 启动的。 创建的其他文件包括:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
该后门可用于向开发人员开发的代码添加书签、泄露专有系统的代码、窃取机密数据并接管帐户。 GitHub 的研究人员不排除恶意活动不仅限于 NetBeans,可能还有 Octopus Scanner 的其他变体嵌入到基于 Make、MsBuild、Gradle 等系统的构建过程中进行自我传播。
受影响项目的名称没有被提及,但它们很容易被提及
来源: opennet.ru