Octopus Scanner: un malware qui affecte NetBeans et permet de placer des portes dérobées

La notification qui Divers projets d'infection ont été détectés sur GitHub malwares qui sont dirigés vers le populaire IDE "NetBeans" et qui utilise dans le processus de compilation pour distribuer le malware.

L'enquête a montré que à l'aide du malware en question, qui s'appelait Octopus Scanner, les portes dérobées étaient secrètement cachées dans 26 projets ouverts avec des référentiels sur GitHub. Les premières traces de la manifestation Octopus Scanner sont datées d'août 2018.

Sécuriser la chaîne d'approvisionnement open source est une tâche énorme. Cela va bien au-delà d'une évaluation de sécurité ou simplement de la mise à jour des derniers CVE. La sécurité de la chaîne d'approvisionnement concerne l'intégrité de l'ensemble de l'écosystème de développement et de livraison de logiciels. De la compromission de code à la façon dont ils circulent dans le pipeline CI / CD, à la livraison réelle des versions, il existe un risque de perte d'intégrité et de problèmes de sécurité, tout au long du cycle de vie.

À propos du scanner Octopus

Ce malware a découvert vous pouvez détecter des fichiers avec des projets NetBeans et ajouter votre propre code pour projeter les fichiers et les fichiers JAR collectés.

L'algorithme de travail consiste à trouver le répertoire NetBeans avec les projets utilisateur, itérer sur tous les projets de ce répertoire pour pouvoir placer le script malveillant dans nbproject / cache.dat et apportez des modifications au fichier nbproject / build-impl.xml pour appeler ce script à chaque fois que le projet est généré.

Lors de la compilation, une copie du malware est incluse dans les fichiers JAR résultants, qui deviennent une source supplémentaire de distribution. Par exemple, des fichiers malveillants ont été placés dans les référentiels des 26 projets ouverts susmentionnés, ainsi que dans divers autres projets lors de la publication de builds de nouvelles versions.

Le 9 mars, nous avons reçu un message d'un chercheur en sécurité nous informant d'un ensemble de référentiels hébergés sur GitHub qui servaient vraisemblablement des logiciels malveillants sans le vouloir. Après une analyse approfondie du malware lui-même, nous avons découvert quelque chose que nous n'avions jamais vu auparavant sur notre plate-forme: un malware conçu pour énumérer les projets NetBeans et placer une porte dérobée qui utilise le processus de construction et ses artefacts résultants pour se propager.

Lors du téléchargement et du démarrage d'un projet avec un fichier JAR malveillant par un autre utilisateur, le prochain cycle de recherche de NetBeans et introduction de code malveillant commence dans votre système, qui correspond au modèle de travail des virus informatiques auto-propagés.

Figure 1: Scanner de poulpe décompilé

En plus de la fonctionnalité d'auto-distribution, le code malveillant comprend également des fonctions de porte dérobée pour fournir un accès à distance au système. Au moment de l'analyse de l'incident, les serveurs de gestion des portes dérobées (C&C) n'étaient pas actifs.

Au total, lors de l'étude des projets concernés, 4 variantes d'infection ont été révélées. Dans l'une des options pour activer la porte dérobée sous Linux, le fichier autorun «$ ACCUEIL / .config / autostart / octo.desktop » et sur Windows, les tâches ont été lancées via schtasks pour démarrer.

La porte dérobée pourrait être utilisée pour ajouter des signets au code développé par les développeurs, organiser les fuites de code à partir de systèmes propriétaires, voler des données sensibles et capturer des comptes.

Vous trouverez ci-dessous un aperçu général du fonctionnement du scanner Octopus:

  1. Identifiez le répertoire NetBeans de l'utilisateur
  2. Lister tous les projets dans le répertoire NetBeans
  3. Chargez le code dans cache.datanbproject / cache.dat
  4. Modifiez nbproject / build-impl.xml pour vous assurer que la charge utile est exécutée à chaque fois que le projet NetBeans est construit
  5. Si la charge utile est une instance du scanner Octopus, le fichier JAR nouvellement créé est également infecté.

Les chercheurs GitHub n'excluent pas cette activité malveillante n'est pas limitée à NetBeans et il peut y avoir d'autres variantes d'Octopus Scanner qui peut être intégré dans le processus de construction basé sur Make, MsBuild, Gradle et d'autres systèmes.

Les noms des projets concernés ne sont pas mentionnés, mais peuvent être facilement trouvés via une recherche GitHub pour le masque "CACHE.DAT".

Parmi les projets qui ont trouvé des traces d'activité malveillante: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulations, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario-FR-.

source: https://securitylab.github.com/


Le contenu de l'article adhère à nos principes de éthique éditoriale. Pour signaler une erreur, cliquez sur c'est par ici !.

Un commentaire, laissez le vôtre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   Mocovirud dit