Octopus Scanner: rosszindulatú program, amely befolyásolja a NetBeans-t és lehetővé teszi a hátsó ajtók elhelyezését

Darkcrizt

4 perc

Az értesítés arról Különböző fertőzési projekteket fedeztek fel a GitHubon rosszindulatú amelyek a népszerű IDE "NetBeans" -re irányulnak és amely felhasználja az összeállítási folyamatot a rosszindulatú programok terjesztésére.

A vizsgálat azt mutatta a kérdéses kártevő segítségével, amelyet Octopus Scanner-nek hívtak, a nyitott ajtókat rejtve rejtették el 26 nyílt projektben a GitHub tárházaival. Az Octopus Scanner megnyilvánulásának első nyomait 2018. augusztusra datálják.

A nyílt forráskódú ellátási lánc biztosítása hatalmas feladat. Ez messze túlmutat egy biztonsági értékelésen vagy csak a legfrissebb CVE javításán. Az ellátási lánc biztonsága a teljes szoftverfejlesztési és szállítási ökoszisztéma integritásáról szól. A kód kompromisszumtól kezdve a CI / CD csővezetéken való átáramláson át a kiadások tényleges kézbesítéséig fennáll az integritás és a biztonsági problémák elvesztésének esélye az egész életciklus alatt.

Az Octopus Scannerről

Ezt a rosszindulatú programot fedezték fel a NetBeans projektekkel felismerheti a fájlokat, és hozzáadhatja saját kódját fájlok és összegyűjtött JAR fájlok vetítésére.

A munka algoritmusa a NetBeans könyvtár megkeresése felhasználói projektekkel ismételje meg a könyvtár összes projektjét hogy a rosszindulatú szkriptet az nbproject / cache.dat fájlba helyezhesse el és módosítsa az nbproject / build-impl.xml fájlt, hogy ezt a parancsfájlt minden alkalommal meghívja, amikor a projekt felépül.

Az összeállítás során a keletkező JAR fájlokban szerepel a kártevő másolata, amelyek további terjesztési forrássá válnak. Például rosszindulatú fájlokat helyeztek el a fent említett 26 nyílt projekt tárházában, valamint számos más projektben, amikor új verziókat építenek ki.

Március 9-én üzenetet kaptunk egy biztonsági kutatótól, amelyben tájékoztattunk a GitHubon tárolt tárhelyekről, amelyek vélhetően rosszindulatú programokat szolgáltak véletlenül. Magának a rosszindulatú programnak a mélyreható elemzése után felfedeztünk valamit, amit még nem láttunk a platformunkon: a NetBeans-projektek felsorolására tervezett rosszindulatú programokat, amelyek egy olyan hátsó ajtóba kerültek, amely az építési folyamatot és az abból származó műtermékeket terjeszti.

Ha egy másik felhasználó rosszindulatú JAR fájlt tölt fel és indít projektet, a következő keresési ciklus és a rosszindulatú kódok bevezetése elindul a rendszerében, amely megfelel az önszaporító számítógépes vírusok működési modelljének.

1. ábra: Dekompilált polipszkenner

Az önterjesztés funkcionalitása mellett a rosszindulatú kód tartalmaz hátsó ajtó funkciókat is, amelyek távoli hozzáférést biztosítanak a rendszerhez. Az incidens elemzésének idején a backdoor management (C&C) szerverek nem voltak aktívak.

Összességében az érintett projektek tanulmányozása során 4 fertőzésváltozatot tártak fel. Az aktiválás egyik lehetőségében a hátsó ajtó Linux alatt, az automatikus futtatási fájl «$ FŐOLDAL / .config / autostart / octo.desktop » és a windowson a feladatok elindításához schtasks-on keresztül indultak.

A hátsó ajtó felhasználható könyvjelzők hozzáadására a fejlesztők által kifejlesztett kódokhoz, a saját rendszerektől származó kódszivárgások megszervezéséhez, érzékeny adatok ellopásához és fiókok rögzítéséhez.

Az alábbiakban egy magas szintű áttekintés található az Octopus szkenner működéséről:

  1. Azonosítsa a felhasználó NetBeans könyvtárát
  2. Sorolja fel az összes projektet a NetBeans könyvtárban
  3. Töltse be a kódot a cache.datanbproject / cache.dat fájlba
  4. Módosítsa az nbproject / build-impl.xml fájlt, hogy megbizonyosodjon arról, hogy a hasznos terhelés minden alkalommal végrehajtásra kerül, amikor a NetBeans projekt felépül
  5. Ha a rosszindulatú teher az Octopus szkenner példánya, akkor az újonnan létrehozott JAR fájl is megfertőződik.

A GitHub kutatói nem zárják ki hogy a rosszindulatú tevékenység nem korlátozódik a NetBeans-re, és az Octopus Scanner más változatai is lehetnek amelyek integrálhatók a make, az MsBuild, a Gradle és más rendszerek alapú építési folyamatba.

Az érintett projektek nevét nem említik, de könnyen megtalálhatók a "CACHE.DAT" maszk GitHub keresésével.

A rosszindulatú tevékenység nyomára bukkant projektek közül: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-fizika-a szimulációk, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario- FR-.

forrás: https://securitylab.github.com/


Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: AB Internet Networks 2008 SL
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.

  1.   mucovirud dijo
    ezelőtt 4 év

    Pont akkor, amikor a Microsoft megvásárolta a githubot:

    https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1

    Túlzott véletlen, ahem.

    Válasz a Mocovirud-ra