Obavijest koja Na GitHub-u su otkriveni različiti projekti zaraze malware koji su usmjereni na popularni IDE "NetBeans" i koja se koristi u procesu kompajliranja za distribuciju zlonamjernog softvera.
Istraga je to pokazala uz pomoć dotičnog zlonamjernog softvera, koji se zvao Octopus Scanner, stražnja vrata skriveno su skrivena u 26 otvorenih projekata sa spremištima na GitHub-u. Prvi tragovi manifestacije Octopus Scanner datiraju iz avgusta 2018. godine.
Osiguranje lanca opskrbe otvorenog koda ogroman je zadatak. To prevazilazi sigurnosnu procjenu ili samo popravljanje najnovijih CVE-a. Sigurnost lanca opskrbe odnosi se na integritet cjelokupnog ekosistema za razvoj softvera i isporuke. Od kompromisa koda, do toga kako oni teku kroz CI / CD cjevovod, do stvarne isporuke izdanja, postoji potencijal za gubitak integriteta i sigurnosnih problema, kroz čitav životni ciklus.
O skeneru Octopus
Otkriven je ovaj zlonamjerni softver možete otkriti datoteke s NetBeans projektima i dodati vlastiti kôd za projektiranje datoteka i prikupljenih JAR datoteka.
Algoritam rada je pronaći direktorij NetBeans kod korisničkih projekata prelistajte sve projekte u ovom direktoriju da biste mogli smjestiti zlonamjernu skriptu u nbproject / cache.dat i napravite promjene u datoteci nbproject / build-impl.xml da biste pozvali ovu skriptu svaki put kad se projekt izgradi.
Tokom kompilacije, kopija zlonamjernog softvera uključena je u rezultirajuće JAR datoteke, koji postaju dodatni izvor distribucije. Na primjer, zlonamjerne datoteke smještene su u spremišta spomenutih 26 otvorenih projekata, kao i u raznim drugim projektima prilikom izdavanja verzija novih verzija.
9. marta primili smo poruku istraživača sigurnosti koji nas je obavijestio o skupu spremišta hostovanih na GitHub-u koja su, vjerovatno, nenamjerno posluživala zlonamjerni softver. Nakon dubinske analize samog zlonamjernog softvera, otkrili smo nešto što prije nismo vidjeli na našoj platformi: zlonamjerni softver dizajniran da nabraja NetBeans projekte i stavlja ga u backdoor koji koristi proces izrade i njegove artefakte koji se šire.
Kada drugi korisnik otprema i pokreće projekat sa zlonamjernom JAR datotekom, sljedeći ciklus pretraživanja NetBeans-a i uvođenje zlonamernog koda pokreće se u vašem sistemu, što odgovara radnom modelu samopropagirajućih računarskih virusa.
Pored funkcionalnosti za samo-distribuciju, zlonamjeran kôd uključuje i backdoor funkcije za omogućavanje daljinskog pristupa sistemu. U vrijeme kada je incident analiziran, backdoor serveri za upravljanje (C&C) nisu bili aktivni.
Ukupno, prilikom proučavanja pogođenih projekata, Otkrivene su 4 varijante infekcije. U jednoj od opcija za aktiviranje zadnja vrata u Linuxu, datoteka automatskog pokretanja «$ POČETNA / .config / autostart / octo.desktop » a na prozorima su zadaci započeti putem schtaskova za pokretanje.
Backdoor se može koristiti za dodavanje oznaka u kod razvijen od programera, organiziranje curenja koda iz vlasničkih sistema, krađu osjetljivih podataka i hvatanje računa.
Ispod je pregled rada Octopus skenera na visokom nivou:
- Identificirajte korisnički NetBeans direktorij
- Navedite sve projekte u direktoriju NetBeans
- Učitajte kod u cache.datanbproject / cache.dat
- Izmijenite nbproject / build-impl.xml kako biste bili sigurni da se korisni teret izvršava svaki put kada se izgradi NetBeans projekt
- Ako je zlonamjerni teret instanca skenera Octopus, novostvorena JAR datoteka je također zaražena.
Istraživači GitHub-a ne isključuju zlonamjerna aktivnost nije ograničena na NetBeans i mogu postojati druge varijante Octopus Scannera koji se mogu integrirati u proces izrade zasnovan na Make, MsBuild, Gradle i drugim sistemima.
Imena pogođenih projekata se ne spominju, ali ih je lako pronaći putem GitHub pretrage maske "CACHE.DAT".
Među projektima koji su pronašli tragove zlonamjernih aktivnosti: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulations, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario-FR-.
Izvor: https://securitylab.github.com/
Taman kad je Microsoft kupio github:
https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1
Pretjerana slučajnost, ah.