Octopus Scanner: malware yang mempengaruhi NetBeans dan memungkinkan penempatan pintu belakang

Darkcrizt

4 menit

Pemberitahuan itu Berbagai proyek infeksi telah terdeteksi di GitHub malware yang diarahkan ke IDE populer "NetBeans" dan yang digunakan dalam proses kompilasi untuk mendistribusikan malware.

Investigasi menunjukkan itu dengan bantuan malware yang dimaksud, yang disebut Octopus Scanner, pintu belakang tersembunyi secara rahasia di 26 proyek terbuka dengan repositori di GitHub. Jejak pertama dari manifestasi Octopus Scanner tertanggal Agustus 2018.

Mengamankan rantai pasokan open source adalah tugas besar. Ini jauh melampaui penilaian keamanan atau hanya menambal CVE terbaru. Keamanan rantai pasokan adalah tentang integritas seluruh pengembangan perangkat lunak dan ekosistem pengiriman. Dari kompromi kode, hingga bagaimana mereka mengalir melalui pipeline CI / CD, hingga pengiriman rilis aktual, ada potensi hilangnya masalah integritas dan keamanan, di seluruh siklus hidup.

Tentang Octopus Scanner

Malware ini ditemukan Anda dapat mendeteksi file dengan proyek NetBeans dan menambahkan kode Anda sendiri untuk memproyeksikan file dan mengumpulkan file JAR.

Algoritme kerjanya adalah menemukan direktori NetBeans dengan proyek pengguna, ulangi semua proyek dalam direktori ini untuk dapat menempatkan skrip berbahaya di nbproject / cache.dat dan buat perubahan pada file nbproject / build-impl.xml untuk memanggil skrip ini setiap kali proyek dibangun.

Selama kompilasi, salinan malware disertakan dalam file JAR yang dihasilkan, yang menjadi sumber distribusi tambahan. Misalnya, file berbahaya ditempatkan di repositori dari 26 proyek terbuka tersebut di atas, serta di berbagai proyek lainnya saat merilis versi versi baru.

Pada tanggal 9 Maret, kami menerima pesan dari peneliti keamanan yang memberi tahu kami tentang kumpulan repositori yang dihosting di GitHub yang mungkin menyajikan malware secara tidak sengaja. Setelah analisis mendalam tentang malware itu sendiri, kami menemukan sesuatu yang belum pernah kami lihat sebelumnya di platform kami: malware yang dirancang untuk menghitung proyek NetBeans dan dimasukkan ke dalam pintu belakang yang menggunakan proses pembuatan dan artefak yang dihasilkan untuk menyebar.

Saat mengunggah dan memulai proyek dengan file JAR berbahaya oleh pengguna lain, siklus pencarian berikutnya NetBeans dan pengenalan kode berbahaya dimulai di sistem Anda, yang sesuai dengan model kerja virus komputer yang menyebar sendiri.

Gambar 1: Pemindaian Gurita yang Didekompilasi

Selain fungsionalitas untuk distribusi mandiri, kode berbahaya juga menyertakan fungsi pintu belakang untuk menyediakan akses jarak jauh ke sistem. Pada saat insiden dianalisis, server manajemen pintu belakang (C&C) tidak aktif.

Secara total, saat mempelajari proyek yang terkena dampak, 4 varian infeksi terungkap. Di salah satu opsi untuk mengaktifkan pintu belakang di Linux, file autorun «$ BERANDA / .config / autostart / octo.desktop » dan di windows tugas-tugas dimulai melalui schtasks untuk memulai.

Pintu belakang dapat digunakan untuk menambahkan bookmark ke kode yang dikembangkan pengembang, mengatur kebocoran kode dari sistem berpemilik, mencuri data sensitif, dan menangkap akun.

Di bawah ini adalah gambaran umum tingkat tinggi dari operasi pemindai Octopus:

  1. Identifikasi direktori NetBeans pengguna
  2. Buat daftar semua proyek di direktori NetBeans
  3. Muat kode di cache.datanbproject / cache.dat
  4. Ubah nbproject / build-impl.xml untuk memastikan payload dijalankan setiap kali proyek NetBeans dibuat
  5. Jika muatan berbahaya adalah contoh pemindai Octopus, file JAR yang baru dibuat juga terinfeksi.

Peneliti GitHub tidak mengecualikan bahwa aktivitas berbahaya tidak terbatas pada NetBeans dan mungkin ada varian lain dari Octopus Scanner yang dapat diintegrasikan ke dalam proses build berdasarkan Make, MsBuild, Gradle, dan sistem lainnya.

Nama proyek yang terpengaruh tidak disebutkan, tetapi dapat dengan mudah ditemukan melalui pencarian GitHub untuk mask "CACHE.DAT".

Di antara proyek yang menemukan jejak aktivitas berbahaya: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Fisika-Simulasi, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario- FR-.

sumber: https://securitylab.github.com/


tinggalkan Komentar Anda

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai dengan *

*

*

  1. Bertanggung jawab atas data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengontrol SPAM, manajemen komentar.
  3. Legitimasi: Persetujuan Anda
  4. Komunikasi data: Data tidak akan dikomunikasikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Basis data dihosting oleh Occentus Networks (UE)
  6. Hak: Anda dapat membatasi, memulihkan, dan menghapus informasi Anda kapan saja.

  1.   Mocovirus dijo
    dahulu 4 tahun

    Tepat saat Microsoft membeli github:

    https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1

    Kebetulan yang berlebihan, ahem.

    Balas ke Mocovirud