Octopus Scanner: en malware, der påvirker NetBeans og gør det muligt at placere bagdøre

Darkcrizt

4 minutter

Meddelelsen blev for nylig udgivet Forskellige infektionsprojekter er blevet opdaget på GitHub malware som er rettet mod den populære IDE "NetBeans" og som bruges i kompileringsprocessen at udføre distribution af malware.

Det viste undersøgelsen ved hjælp af den pågældende malware, som blev kaldt Octopus Scanner, bagdøre var skjult skjult i 26 åbne projekter med repositories på GitHub. De første spor af Octopus Scanner-manifestationen er dateret august 2018.

At sikre open source-forsyningskæden er en enorm opgave. Det går langt ud over en sikkerhedsvurdering eller blot at patche de seneste CVE'er. Supply chain-sikkerhed handler om integriteten af ​​hele softwareudviklings- og leveringsøkosystemet. Fra code commit, til hvordan de flyder gennem CI/CD-pipelinen, til den faktiske levering af udgivelser, er der potentiale for manglende integritets- og sikkerhedsproblemer gennem hele livscyklussen.

Om Octopus Scanner

Denne malware opdaget du kan finde filer med NetBeans-projekter og tilføje din egen kode til at projektere filer og indsamlede JAR-filer.

Arbejdsalgoritmen er at finde NetBeans-biblioteket med brugerprojekter, gentag over alle projekter i denne mappe for at kunne placere det ondsindede script i nbproject/cache.dat og foretag ændringer i filen nbproject/build-impl.xml for at kalde dette script, hver gang projektet bygges.

Under kompileringen, en kopi af malware er inkluderet i de resulterende JAR-filer, som bliver en ekstra distributionskilde. For eksempel blev ondsindede filer placeret i lagrene af de førnævnte 26 åbne projekter, samt i diverse andre projekter ved udgivelse af builds af nye versioner.

Den 9. marts modtog vi en besked fra en sikkerhedsforsker, der informerede os om et sæt GitHub-hostede depoter, der formentlig utilsigtet serverede malware. Efter en dyb analyse af selve malwaren opdagede vi noget, vi ikke havde set før på vores platform: malware designet til at opregne NetBeans-projekter og slippe en bagdør, der bruger byggeprocessen og dens resulterende artefakter til at sprede sig.

Når du uploader og starter et projekt med en ondsindet JAR-fil af en anden bruger, næste søgecyklus af NetBeans og introduktion af ondsindet kode starter i dit system, hvilket svarer til arbejdsmodellen for selvudbredende computervirus.

Figur 1: Dekompileret blækspruttescanner

Ud over funktionaliteten til selvdistribution inkluderer den ondsindede kode også bagdørsfunktioner for at give fjernadgang til systemet. På det tidspunkt, hvor hændelsen blev analyseret, var serverne til bagdørsstyring (C&C) ikke aktive.

I alt, når man studerer de berørte projekter, 4 infektionsvarianter blev afsløret. I en af ​​mulighederne for at aktivere bagdøren i linux, autorun-filen "$ HOME/.config/autostart/octo.desktop» og på Windows blev opgaver lanceret via schtasks for at komme i gang.

Bagdøren kunne bruges til at tilføje markører til udviklerudviklet kode, orkestrere kodelækage fra proprietære systemer, stjæle følsomme data og fange konti.

Nedenfor er en overordnet beskrivelse af betjeningen af ​​Octopus-scanneren:

  1. Identificer brugerens NetBeans-bibliotek
  2. Liste over alle projekter i NetBeans-biblioteket
  3. Indlæs koden i cache.datanbproject/cache.dat
  4. Rediger nbproject/build-impl.xml for at sikre, at nyttelasten udføres, hver gang NetBeans-projektet bygges
  5. Hvis den ondsindede nyttelast er en forekomst af Octopus-scanneren, er den nyoprettede JAR-fil også inficeret.

GitHub-forskere udelukker ikke at ondsindet aktivitet ikke er begrænset til NetBeans, og der kan være andre varianter af Octopus Scanner der kan integreres i byggeprocessen baseret på Make, MsBuild, Gradle og andre systemer.

Navnene på de berørte projekter er ikke nævnt, men de kan nemt findes via en GitHub-søgning efter masken "CACHE.DAT".

Blandt de projekter, der fandt spor af ondsindet aktivitet: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulations, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario-FR-.

kilde: https://securitylab.github.com/


Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for data: AB Internet Networks 2008 SL
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.

  1.   mucovirud sagde han
    siden 4 år

    Lige da Microsoft købte github:

    https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1

    Overdreven tilfældighed, ahem.

    Svar til Mocovirud