Octopus Scanner: haittaohjelma, joka vaikuttaa NetBeans-laitteeseen ja mahdollistaa takaovien sijoittamisen

Darkcrizt

4 minuuttia

Ilmoitus siitä GitHubissa on havaittu erilaisia ​​infektioprojekteja haittaohjelma jotka on suunnattu suosittuun IDE "NetBeans" -ohjelmaan ja jota käytetään kokoamisprosessissa levittää haittaohjelmia.

Tutkimus osoitti sen kyseisen haittaohjelman avulla, jota kutsuttiin Octopus Scanneriksi, takaovet piilotettiin piilossa 26 avoimessa projektissa GitHubin arkistoilla. Ensimmäiset jäljet ​​Octopus Scanner -ilmaisusta ovat päivätty elokuussa 2018.

Avoimen lähdekoodin toimitusketjun turvaaminen on valtava tehtävä. Se menee pidemmälle kuin turvallisuusarviointi tai vain uusimpien CVE: ien korjaaminen. Toimitusketjun turvallisuus tarkoittaa koko ohjelmistokehitys- ja toimitusekosysteemin eheyttä. Koodikompromissista siihen, miten ne kulkevat CI / CD-putkilinjan kautta, julkaisujen todelliseen jakeluun, eheys- ja tietoturvaongelmat voivat kadota koko elinkaaren ajan.

Tietoja Octopus Scannerista

Tämä haittaohjelma löydettiin voit tunnistaa tiedostot NetBeans-projekteilla ja lisätä oman koodisi heijastamaan tiedostoja ja kerättyjä JAR-tiedostoja.

Työskentelyalgoritmi on löytää NetBeans-hakemisto käyttäjäprojektien kanssa, toista kaikki tämän hakemiston projektit jotta haitallinen komentosarja voidaan sijoittaa tiedostoon nbproject / cache.dat ja tee muutoksia nbproject / build-impl.xml-tiedostoon kutsuaksesi tämä komentosarja aina, kun projekti rakennetaan.

Kokoamisen aikana kopio haittaohjelmasta sisältyy syntyneisiin JAR-tiedostoihin, joista tulee lisäjakelulähde. Esimerkiksi haitalliset tiedostot sijoitettiin edellä mainittujen 26 avoimen projektin arkistoihin, samoin kuin useissa muissa projekteissa, kun julkaistaan ​​uusien versioiden versioita.

9. maaliskuuta saimme tietoturvatutkijalta viestin, joka kertoi meille joukosta GitHubissa isännöityjä arkistoja, jotka oletettavasti palvelivat haittaohjelmia tahattomasti. Itse haittaohjelman perusteellisen analyysin jälkeen löysimme jotain, mitä emme olleet ennen nähneet alustaltamme: haittaohjelmat, jotka on suunniteltu lukemaan NetBeans-projektit ja asettamaan takaoven, joka käyttää rakennusprosessia ja siitä johtuvia esineitä leviämiseen.

Kun lataat ja aloitat projektin toisen käyttäjän haitallisella JAR-tiedostolla, seuraava hakusykli NetBeans ja haittaohjelmien käyttöönotto alkaa järjestelmässäsi, joka vastaa itsestään lisääntyvien tietokonevirusten toimintamallia.

Kuva 1: Dekompiloitu Octopus Scan

Itselähetystoiminnan lisäksi haitallinen koodi sisältää myös takaoven toimintoja, jotka tarjoavat etäyhteyden järjestelmään. Tapahtuman analysoinnin aikana takaoven hallinta (C&C) -palvelimet eivät olleet aktiivisia.

Tutkiessaan kyseisiä hankkeita Neljä infektiomuunnosta paljastettiin. Yhdessä aktivoitavista vaihtoehdoista takaovi Linuxissa, autorun-tiedosto «$ HOME / .config / autostart / octo.desktop » ja Windowsissa tehtävät aloitettiin aloitusohjelmien kautta.

Takaoven avulla voit lisätä kirjanmerkkejä kehittäjien kehittämään koodiin, järjestää koodivuodot omista järjestelmistä, varastaa arkaluontoisia tietoja ja siepata tilejä.

Alla on korkean tason yleiskatsaus Octopus-skannerin toiminnasta:

  1. Tunnista käyttäjän NetBeans-hakemisto
  2. Luettele kaikki projektit NetBeans-hakemistossa
  3. Lataa koodi cache.datanbproject / cache.dat
  4. Muokkaa nbproject / build-impl.xml-tiedostoa varmistaaksesi, että hyötykuorma suoritetaan aina, kun NetBeans-projekti rakennetaan
  5. Jos haitallinen hyötykuorma on Octopus-skannerin esiintymä, myös luotu JAR-tiedosto on saanut tartunnan.

GitHub-tutkijat eivät sulje pois haitallinen toiminta ei rajoitu NetBeansiin, ja Octopus Scannerilla voi olla muita muunnelmia joka voidaan integroida make-, MsBuild-, Gradle- ja muihin järjestelmiin perustuvaan rakennusprosessiin.

Kyseisten projektien nimiä ei mainita, mutta ne löytyvät helposti GitHub-haun avulla maskista "CACHE.DAT".

Niistä projekteista, jotka löysivät jälkiä haitallisesta toiminnasta: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-fysiikka - simulaatiot, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario- FR-.

lähde: https://securitylab.github.com/


Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   mukovirus dijo
    sitten 4 vuotta

    Aivan kun Microsoft osti github:

    https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1

    Liiallinen sattuma, ahem.

    Vastaa Mocovirudille