GitHub上 攻擊 NetBeans IDE 中的專案並使用建置流程進行自身傳播的惡意軟體。調查顯示,使用名為 Octopus Scanner 的相關惡意軟體,後門被秘密整合到 GitHub 上儲存庫的 26 個開放專案中。章魚掃描儀的首次出現可以追溯到 2018 年 XNUMX 月。
該惡意軟體能夠識別 NetBeans 專案檔案並將其程式碼新增至專案檔案和編譯的 JAR 檔案。工作演算法歸結為尋找包含使用者項目的 NetBeans 目錄,列舉該目錄中的所有項目,將惡意腳本複製到 並對文件進行更改 每次建置專案時呼叫此腳本。組裝後,惡意軟體的副本將包含在生成的 JAR 檔案中,這些檔案將成為進一步分發的來源。例如,在發布新版本的版本時,惡意檔案會發佈到上述 26 個開源專案以及各種其他專案的儲存庫中。
當另一個用戶下載並啟動受感染的 JAR 檔案時,他的系統上開始了另一個搜尋 NetBeans 並引入惡意程式碼的循環,這對應於自我傳播電腦病毒的運行模型。除了自我傳播功能外,惡意程式碼還包括後門功能,以提供對系統的遠端存取。事件發生時,後門控制 (C&C) 伺服器未處於活動狀態。
在研究受影響的項目時,總共發現了 4 種感染變異。其中一個選項是,為了在 Linux 中啟動後門,會建立一個自動啟動檔案“$HOME/.config/autostart/octo.desktop”,而在 Windows 中,則透過 schtasks 啟動任務來啟動它。建立的其他文件包括:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
此後門可用於向開發人員開發的程式碼添加書籤、洩露專有系統的程式碼、竊取機密資料並接管帳戶。 GitHub 的研究人員不排除惡意活動不僅限於 NetBeans,可能還有 Octopus Scanner 的其他變體嵌入到基於 Make、MsBuild、Gradle 等系統的建置過程中進行自我傳播。
受影響項目的名稱沒有提及,但很容易被提及 透過使用「cache.dat」遮罩在 GitHub 中進行搜尋。在發現惡意活動痕跡的項目中: , , , , , , , , , , , , .
來源: opennet.ru