Η ειδοποίηση κυκλοφόρησε πρόσφατα ότι Έχουν εντοπιστεί διάφορα έργα μόλυνσης στο GitHub κακόβουλο λογισμικό που στοχεύουν στο δημοφιλές IDE "NetBeans" και το οποίο χρησιμοποιείται στη διαδικασία μεταγλώττισης να πραγματοποιήσει τη διανομή κακόβουλου λογισμικού.
Η έρευνα έδειξε ότι με τη βοήθεια του εν λόγω κακόβουλου λογισμικού, που ονομαζόταν Octopus Scanner, οι κερκόπορτες κρύφτηκαν κρυφά σε 26 ανοιχτά έργα με αποθετήρια στο GitHub. Τα πρώτα ίχνη της εκδήλωσης του Octopus Scanner χρονολογούνται τον Αύγουστο του 2018.
Η διασφάλιση της εφοδιαστικής αλυσίδας ανοιχτού κώδικα είναι ένα τεράστιο έργο. Ξεπερνά κατά πολύ την αξιολόγηση ασφαλείας ή απλώς την επιδιόρθωση των πιο πρόσφατων CVE. Η ασφάλεια της εφοδιαστικής αλυσίδας αφορά την ακεραιότητα ολόκληρου του οικοσυστήματος ανάπτυξης και παράδοσης λογισμικού. Από τη δέσμευση κώδικα, μέχρι τον τρόπο ροής τους μέσω του αγωγού CI/CD, μέχρι την πραγματική παράδοση των εκδόσεων, υπάρχει πιθανότητα να λείπουν ζητήματα ακεραιότητας και ασφάλειας, καθ' όλη τη διάρκεια του κύκλου ζωής.
Σχετικά με το Octopus Scanner
Αυτό το κακόβουλο λογισμικό ανακαλύφθηκε μπορείτε να εντοπίσετε αρχεία με έργα NetBeans και να προσθέσετε τον δικό σας κώδικα για να προβάλλετε αρχεία και συλλεγμένα αρχεία JAR.
Ο αλγόριθμος εργασίας είναι να βρει τον κατάλογο NetBeans με έργα χρήστη, επαναλάβετε όλα τα έργα σε αυτόν τον κατάλογο για να μπορέσετε να τοποθετήσετε το κακόβουλο σενάριο στο nbproject/cache.dat και κάντε αλλαγές στο αρχείο nbproject/build-impl.xml για να καλείτε αυτό το σενάριο κάθε φορά που δημιουργείται το έργο.
Κατά τη σύνταξη, ένα αντίγραφο του κακόβουλου λογισμικού περιλαμβάνεται στα αρχεία JAR που προκύπτουν, που γίνονται μια πρόσθετη πηγή διανομής. Για παράδειγμα, κακόβουλα αρχεία τοποθετήθηκαν στα αποθετήρια των προαναφερθέντων 26 ανοιχτών έργων, καθώς και σε διάφορα άλλα έργα κατά τη δημοσίευση build νέων εκδόσεων.
Στις 9 Μαρτίου, λάβαμε ένα μήνυμα από έναν ερευνητή ασφάλειας που μας ενημέρωνε για ένα σύνολο αποθετηρίων που φιλοξενούνταν στο GitHub που κατά πάσα πιθανότητα εξυπηρετούσαν κατά λάθος κακόβουλο λογισμικό. Μετά από μια βαθιά ανάλυση του ίδιου του κακόβουλου λογισμικού, ανακαλύψαμε κάτι που δεν είχαμε ξαναδεί στην πλατφόρμα μας: κακόβουλο λογισμικό που έχει σχεδιαστεί για να απαριθμεί έργα NetBeans και να αφήνει ένα backdoor που χρησιμοποιεί τη διαδικασία κατασκευής και τα τεχνουργήματα που προκύπτουν για να εξαπλωθεί.
Κατά τη μεταφόρτωση και εκκίνηση ενός έργου με ένα κακόβουλο αρχείο JAR από άλλο χρήστη, τον επόμενο κύκλο αναζήτησης του NetBeans και εισαγωγή κακόβουλου κώδικα ξεκινά στο σύστημά σας, που αντιστοιχεί στο μοντέλο εργασίας των αυτοδιαδιδόμενων ιών υπολογιστών.
Εκτός από τη λειτουργικότητα για αυτοδιανομή, ο κακόβουλος κώδικας περιλαμβάνει επίσης λειτουργίες backdoor για την παροχή απομακρυσμένης πρόσβασης στο σύστημα. Τη στιγμή που αναλύθηκε το περιστατικό, οι διακομιστές διαχείρισης κερκόπορτας (C&C) δεν ήταν ενεργοί.
Συνολικά, κατά τη μελέτη των επηρεαζόμενων έργων, Αποκαλύφθηκαν 4 παραλλαγές μόλυνσης. Σε μια από τις επιλογές για ενεργοποίηση η κερκόπορτα στο linux, το αρχείο αυτόματης εκτέλεσης «$ HOME/.config/autostart/octo.desktop» και στα Windows, οι εργασίες ξεκίνησαν μέσω schtasks για να ξεκινήσετε.
Το backdoor θα μπορούσε να χρησιμοποιηθεί για την προσθήκη δεικτών σε κώδικα που έχει αναπτυχθεί από προγραμματιστές, για την ενορχήστρωση διαρροών κώδικα από ιδιόκτητα συστήματα, την κλοπή ευαίσθητων δεδομένων και τη λήψη λογαριασμών.
Ακολουθεί μια περιγραφή υψηλού επιπέδου της λειτουργίας του σαρωτή Octopus:
- Προσδιορίστε τον κατάλογο NetBeans του χρήστη
- Καταχωρίστε όλα τα έργα στον κατάλογο NetBeans
- Φορτώστε τον κώδικα στο cache.datanbproject/cache.dat
- Τροποποιήστε το nbproject/build-impl.xml για να διασφαλίσετε ότι το ωφέλιμο φορτίο εκτελείται κάθε φορά που δημιουργείται το έργο NetBeans
- Εάν το κακόβουλο ωφέλιμο φορτίο είναι μια εμφάνιση του σαρωτή Octopus, το αρχείο JAR που δημιουργήθηκε πρόσφατα έχει επίσης μολυνθεί.
Οι ερευνητές του GitHub δεν αποκλείουν ότι η κακόβουλη δραστηριότητα δεν περιορίζεται στο NetBeans και ενδέχεται να υπάρχουν άλλες παραλλαγές του Octopus Scanner που μπορεί να ενσωματωθεί στη διαδικασία κατασκευής που βασίζεται σε συστήματα Make, MsBuild, Gradle και άλλα.
Τα ονόματα των έργων που επηρεάζονται δεν αναφέρονται, αλλά μπορούν να βρεθούν εύκολα μέσω μιας αναζήτησης στο GitHub για τη μάσκα "CACHE.DAT".
Μεταξύ των έργων που βρήκαν ίχνη κακόβουλης δραστηριότητας: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulations, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario-FR-.
πηγή: https://securitylab.github.com/
Ακριβώς όταν η Microsoft αγόρασε το github:
https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1
Υπερβολική σύμπτωση, αχ.