GitHub上
該惡意軟體能夠識別 NetBeans 專案檔案並將其程式碼新增至專案檔案和編譯的 JAR 檔案。工作演算法歸結為尋找包含使用者項目的 NetBeans 目錄,列舉該目錄中的所有項目,將惡意腳本複製到
當另一個用戶下載並啟動受感染的 JAR 檔案時,他的系統上開始了另一個搜尋 NetBeans 並引入惡意程式碼的循環,這對應於自我傳播電腦病毒的運行模型。除了自我傳播功能外,惡意程式碼還包括後門功能,以提供對系統的遠端存取。事件發生時,後門控制 (C&C) 伺服器未處於活動狀態。
在研究受影響的項目時,總共發現了 4 種感染變異。其中一個選項是,為了在 Linux 中啟動後門,會建立一個自動啟動檔案“$HOME/.config/autostart/octo.desktop”,而在 Windows 中,則透過 schtasks 啟動任務來啟動它。建立的其他文件包括:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
此後門可用於向開發人員開發的程式碼添加書籤、洩露專有系統的程式碼、竊取機密資料並接管帳戶。 GitHub 的研究人員不排除惡意活動不僅限於 NetBeans,可能還有 Octopus Scanner 的其他變體嵌入到基於 Make、MsBuild、Gradle 等系統的建置過程中進行自我傳播。
受影響項目的名稱沒有提及,但很容易被提及
來源: opennet.ru