Известието, че В GitHub са открити различни проекти за заразяване злонамерен софтуер които са насочени към популярната IDE "NetBeans" и който се използва в процеса на компилация за разпространение на зловредния софтуер.
Разследването показа това с помощта на въпросния зловреден софтуер, който се наричаше Октопод скенер, задните врати бяха скрито скрити в 26 отворени проекта с хранилища на GitHub. Първите следи от проявата на Octopus Scanner са от август 2018 г.
Осигуряването на веригата за доставки с отворен код е огромна задача. Това далеч надхвърля оценката на сигурността или просто поправя най-новите CVE. Сигурността на веригата за доставки е свързана с целостта на цялата екосистема за разработка и доставка на софтуер. От компромиса с кода до начина, по който текат през CI / CD тръбопровода, до реалната доставка на версии, съществува потенциал за загуба на целостта и проблеми със сигурността през целия жизнен цикъл.
Относно скенера за октопод
Този злонамерен софтуер е открит можете да откривате файлове с проекти на NetBeans и да добавяте свой собствен код да проектирате файлове и събрани JAR файлове.
Работещият алгоритъм е да се намери директорията NetBeans с потребителски проекти, прегледайте всички проекти в тази директория за да можете да поставите злонамерения скрипт в nbproject / cache.dat и направете промени във файла nbproject / build-impl.xml, за да извикате този скрипт всеки път, когато проектът е изграден.
По време на компилацията, копие на зловредния софтуер е включено в получените JAR файлове, които се превръщат в допълнителен източник на разпространение. Например злонамерени файлове бяха поставени в хранилищата на гореспоменатите 26 отворени проекта, както и в различни други проекти при издаване на компилации на нови версии.
На 9 март получихме съобщение от изследовател по сигурността, което ни информира за набор от хранилища, хоствани на GitHub, които вероятно са обслужвали неволно злонамерен софтуер. След задълбочен анализ на самия зловреден софтуер открихме нещо, което не бяхме виждали досега на нашата платформа: зловреден софтуер, предназначен да изброява проекти на NetBeans и поставен в задната врата, която използва процеса на изграждане и произтичащите от него артефакти за разпространение.
Когато качвате и стартирате проект със злонамерен JAR файл от друг потребител, следващия цикъл на търсене на NetBeans и въвеждане на зловреден код стартира във вашата система, което съответства на работещия модел на саморазмножаващи се компютърни вируси.
В допълнение към функционалността за саморазпространение, зловредният код включва и функции на задната врата, които осигуряват отдалечен достъп до системата. По време на анализирането на инцидента сървърите за управление на задната врата (C&C) не бяха активни.
Като цяло, при проучване на засегнатите проекти, Разкрити са 4 варианта на инфекция. В една от опциите за активиране задната врата в Linux, файлът за автоматично стартиране «$ НАЧАЛО / .config / autostart / octo.desktop » и на Windows задачите бяха стартирани чрез schtasks за стартиране.
Бекдорът може да се използва за добавяне на отметки към разработения от разработчика код, организиране на изтичане на код от собственически системи, кражба на чувствителни данни и улавяне на акаунти.
По-долу е даден общ преглед на работата на скенера Octopus:
- Идентифицирайте директорията на потребителя NetBeans
- Избройте всички проекти в директорията NetBeans
- Заредете кода в cache.datanbproject / cache.dat
- Променете nbproject / build-impl.xml, за да сте сигурни, че полезният товар се изпълнява всеки път, когато се изгражда проектът NetBeans
- Ако злонамереният полезен товар е екземпляр на скенера Octopus, новосъздаденият JAR файл също е заразен.
Изследователите на GitHub не изключват че злонамерената дейност не е ограничена до NetBeans и може да има и други варианти на Octopus Scanner които могат да бъдат интегрирани в процеса на изграждане на базата на Make, MsBuild, Gradle и други системи.
Имената на засегнатите проекти не се споменават, но могат лесно да бъдат намерени чрез търсене в GitHub за маската „CACHE.DAT“.
Сред проектите, които откриха следи от злонамерена дейност: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulations, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario-FR-.
Fuente: https://securitylab.github.com/
Точно когато Microsoft купи github:
https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1
Прекалено съвпадение, хм.