Octopus Scanner: malver koji utječe na NetBeans i omogućava postavljanje stražnjih vrata

Darkcrizt

4 minuta

Obavijest koja Na GitHub-u su otkriveni različiti projekti zaraze malware koji su usmjereni na popularni IDE "NetBeans" i koja se koristi u procesu kompajliranja za distribuciju zlonamjernog softvera.

Istraga je to pokazala uz pomoć dotičnog zlonamjernog softvera, koji se zvao Octopus Scanner, stražnja vrata skriveno su skrivena u 26 otvorenih projekata sa spremištima na GitHub-u. Prvi tragovi manifestacije Octopus Scanner datiraju iz avgusta 2018. godine.

Osiguranje lanca opskrbe otvorenog koda ogroman je zadatak. To prevazilazi sigurnosnu procjenu ili samo popravljanje najnovijih CVE-a. Sigurnost lanca opskrbe odnosi se na integritet cjelokupnog ekosistema za razvoj softvera i isporuke. Od kompromisa koda, do toga kako oni teku kroz CI / CD cjevovod, do stvarne isporuke izdanja, postoji potencijal za gubitak integriteta i sigurnosnih problema, kroz čitav životni ciklus.

O skeneru Octopus

Otkriven je ovaj zlonamjerni softver možete otkriti datoteke s NetBeans projektima i dodati vlastiti kôd za projektiranje datoteka i prikupljenih JAR datoteka.

Algoritam rada je pronaći direktorij NetBeans kod korisničkih projekata prelistajte sve projekte u ovom direktoriju da biste mogli smjestiti zlonamjernu skriptu u nbproject / cache.dat i napravite promjene u datoteci nbproject / build-impl.xml da biste pozvali ovu skriptu svaki put kad se projekt izgradi.

Tokom kompilacije, kopija zlonamjernog softvera uključena je u rezultirajuće JAR datoteke, koji postaju dodatni izvor distribucije. Na primjer, zlonamjerne datoteke smještene su u spremišta spomenutih 26 otvorenih projekata, kao i u raznim drugim projektima prilikom izdavanja verzija novih verzija.

9. marta primili smo poruku istraživača sigurnosti koji nas je obavijestio o skupu spremišta hostovanih na GitHub-u koja su, vjerovatno, nenamjerno posluživala zlonamjerni softver. Nakon dubinske analize samog zlonamjernog softvera, otkrili smo nešto što prije nismo vidjeli na našoj platformi: zlonamjerni softver dizajniran da nabraja NetBeans projekte i stavlja ga u backdoor koji koristi proces izrade i njegove artefakte koji se šire.

Kada drugi korisnik otprema i pokreće projekat sa zlonamjernom JAR datotekom, sljedeći ciklus pretraživanja NetBeans-a i uvođenje zlonamernog koda pokreće se u vašem sistemu, što odgovara radnom modelu samopropagirajućih računarskih virusa.

Slika 1: Dekompajlirani skener hobotnice

Pored funkcionalnosti za samo-distribuciju, zlonamjeran kôd uključuje i backdoor funkcije za omogućavanje daljinskog pristupa sistemu. U vrijeme kada je incident analiziran, backdoor serveri za upravljanje (C&C) nisu bili aktivni.

Ukupno, prilikom proučavanja pogođenih projekata, Otkrivene su 4 varijante infekcije. U jednoj od opcija za aktiviranje zadnja vrata u Linuxu, datoteka automatskog pokretanja «$ POČETNA / .config / autostart / octo.desktop » a na prozorima su zadaci započeti putem schtaskova za pokretanje.

Backdoor se može koristiti za dodavanje oznaka u kod razvijen od programera, organiziranje curenja koda iz vlasničkih sistema, krađu osjetljivih podataka i hvatanje računa.

Ispod je pregled rada Octopus skenera na visokom nivou:

  1. Identificirajte korisnički NetBeans direktorij
  2. Navedite sve projekte u direktoriju NetBeans
  3. Učitajte kod u cache.datanbproject / cache.dat
  4. Izmijenite nbproject / build-impl.xml kako biste bili sigurni da se korisni teret izvršava svaki put kada se izgradi NetBeans projekt
  5. Ako je zlonamjerni teret instanca skenera Octopus, novostvorena JAR datoteka je također zaražena.

Istraživači GitHub-a ne isključuju zlonamjerna aktivnost nije ograničena na NetBeans i mogu postojati druge varijante Octopus Scannera koji se mogu integrirati u proces izrade zasnovan na Make, MsBuild, Gradle i drugim sistemima.

Imena pogođenih projekata se ne spominju, ali ih je lako pronaći putem GitHub pretrage maske "CACHE.DAT".

Među projektima koji su pronašli tragove zlonamjernih aktivnosti: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulations, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario-FR-.

Izvor: https://securitylab.github.com/


Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   mucovirud rekao je
    čini 4 godina

    Taman kad je Microsoft kupio github:

    https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1

    Pretjerana slučajnost, ah.

    Odgovoriti na Mocovirud