Octopus Scanner: un malware que afecta NetBeans i permet col·locar backdoors

Fa poc es va donar a conèixer la notifica que en GitHub s'han detectat diversos projectes d'infecció de codi maliciós que estan dirigits a l'popular IDE "NetBeans" i el qual és utilitzant en el procés de compilació per realitzar la distribució de malware.

La investigació va mostrar que amb l'ajuda d'el malware en qüestió, que es deia Octopus Scanner, Backdoors es van ocultar de manera encoberta a 26 projectes oberts amb repositoris en GitHub. Els primers rastres de la manifestació d'Octopus Scanner estan datats a l'agost de 2018.

Assegurar la cadena de subministrament de codi obert és una tasca enorme. Va molt més enllà d'una avaluació de seguretat o simplement posar pegats els últims CVE. La seguretat de la cadena de subministrament es tracta de la integritat de tot l'ecosistema de desenvolupament i lliurament de programari. Des del compromís de el codi, fins a com flueixen a través de la canalització de CI / CD, fins al lliurament real de llançaments, hi ha la possibilitat de pèrdua de problemes d'integritat i seguretat, al llarg de tot el cicle de vida.

Sobre Octopus Scanner

Aquest malware descobert pot detectar arxius amb projectes de NetBeans i afegir el seu propi codi als arxius de projecte i arxius JAR recopilades.

L'algorisme de treball és trobar el directori de NetBeans amb projectes d'usuari, iterar sobre tots els projectes en aquest directori per poder realitzar la col·locació de l'script maliciós en nbproject / cache.dat i realitzar canvis a l'arxiu nbproject / build-impl.xml per trucar a aquest script cada vegada que es construeix el projecte.

Durant la compilació, s'inclou una còpia de l'malware en els arxius JAR resultants, que es converteixen en una font de distribució addicional. Per exemple, es van col·locar arxius maliciosos en els repositoris dels 26 projectes oberts abans esmentats, així com en diversos altres projectes a l'publicar compilacions de noves versions.

El 9 de març, vam rebre un missatge d'un investigador de seguretat que ens informava sobre un conjunt de repositoris allotjats en GitHub que presumiblement estaven servint malware de manera no intencional. Després d'una anàlisi profunda de l'malware en si, vam descobrir una cosa que no havíem vist abans en la nostra plataforma: malware dissenyat per enumerar projectes de NetBeans i col·locar una porta del darrere que utilitza el procés de compilació i els seus artefactes resultants per propagar-se.

A l'carregar i iniciar un projecte amb un arxiu JAR maliciós per un altre usuari, el següent cicle de cerca de NetBeans i introducció de codi maliciós comença en el seu sistema, Que correspon a el model de treball dels virus informàtics de propagació automàtica.

Figura 1: escàner de pop descompilat

A més de la funcionalitat per l'auto-distribució, el codi maliciós també inclou funcions de porta secreta per a proporcionar accés remot a el sistema. En el moment en què es va analitzar l'incident, els servidors d'administració de l'backdoor (C & C) no estaven actius.

En total, a l'estudiar els projectes afectats, es van revelar 4 variants de infecció. En una de les opcions per activar la porta del darrere en Linux, Es va crear l'arxiu d'execució automàtica «$ HOME / .config / autostart / octo.desktop » i en Windows, les tasques es van iniciar a través d'Schtasks per començar.

La porta del darrere podria usar-se per afegir marcadors a el codi desenvolupat pel desenvolupador, organitzar la fugida de codi dels sistemes propietaris, robar dades confidencials i capturar comptes.

A continuació es mostra una descripció d'alt nivell de l'operació de l'escàner Octopus:

  1. Identificar el directori NetBeans de l'usuari
  2. Enumerar tots els projectes en el directori de NetBeans
  3. Carrega el codi en cache.datanbproject / cache.dat
  4. Modificar nbproject / build-impl.xml per assegurar-se que la càrrega maliciosa s'executa cada vegada que es construeix el projecte NetBeans
  5. Si la càrrega maliciosa és una instància de l'escàner Octopus, l'arxiu JAR acabat de crear també està infectat.

Els investigadors de GitHub no exclouen que l'activitat maliciosa no es limiti a NetBeans i pot haver altres variants d'Octopus Scanner que poden integrar-se al procés de compilació basat en Make, MSBuild, Gradle i altres sistemes.

No s'esmenten els noms dels projectes afectats, però poden ser fàcilment trobats a través d'una recerca en GitHub per la màscara «CACHE.DAT».

Entre els projectes que van trobar rastres d'activitat maliciosa: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulations, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, Pacman-java_ia, SuperMario- FR-.

font: https://securitylab.github.com/


Un comentari, deixa el teu

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.