Octopus Scanner: un malware che colpisce NetBeans e consente l'inserimento di backdoor

Darkcrizt

4 minuti

La notifica che Vari progetti di infezione sono stati rilevati su GitHub malware indirizzati al popolare IDE "NetBeans" e che sta utilizzando nel processo di compilazione per distribuire il malware.

L'indagine lo ha dimostrato con l'aiuto del malware in questione, che si chiamava Octopus Scanner, le backdoor erano nascoste di nascosto in 26 progetti aperti con i repository su GitHub. Le prime tracce della manifestazione Octopus Scanner sono datate agosto 2018.

Garantire la catena di approvvigionamento open source è un compito enorme. Va ben oltre una valutazione della sicurezza o semplicemente l'applicazione di patch agli ultimi CVE. La sicurezza della catena di fornitura riguarda l'integrità dell'intero ecosistema di sviluppo e distribuzione del software. Dalla compromissione del codice, al modo in cui fluiscono attraverso la pipeline CI / CD, alla consegna effettiva delle versioni, esiste il rischio di perdita di integrità e problemi di sicurezza, durante l'intero ciclo di vita.

Informazioni su Octopus Scanner

Questo malware scoperto puoi rilevare file con progetti NetBeans e aggiungere il tuo codice per proiettare file e file JAR raccolti.

L'algoritmo di lavoro è trovare la directory NetBeans con i progetti utente, itera su tutti i progetti in questa directory per poter posizionare lo script dannoso in nbproject / cache.dat e apportare modifiche al file nbproject / build-impl.xml per chiamare questo script ogni volta che il progetto viene compilato.

Durante la compilazione, una copia del malware è inclusa nei file JAR risultanti, che diventano un'ulteriore fonte di distribuzione. Ad esempio, file dannosi sono stati inseriti nei repository dei suddetti 26 progetti aperti, così come in vari altri progetti quando si rilasciano build di nuove versioni.

Il 9 marzo, abbiamo ricevuto un messaggio da un ricercatore di sicurezza che ci informava su una serie di repository ospitati su GitHub che presumibilmente servivano malware involontariamente. Dopo un'analisi approfondita del malware stesso, abbiamo scoperto qualcosa che non avevamo mai visto prima sulla nostra piattaforma: malware progettato per enumerare i progetti NetBeans e inserire una backdoor che utilizza il processo di compilazione e gli artefatti risultanti per diffondersi.

Quando si carica e si avvia un progetto con un file JAR dannoso da un altro utente, il prossimo ciclo di ricerca di NetBeans e introduzione di codice dannoso inizia nel tuo sistema, che corrisponde al modello di lavoro dei virus informatici che si auto-propagano.

Figura 1: Octopus Scan decompilato

Oltre alla funzionalità per l'auto-distribuzione, il codice dannoso include anche funzioni backdoor per fornire l'accesso remoto al sistema. Al momento in cui è stato analizzato l'incidente, i server di gestione backdoor (C&C) non erano attivi.

In totale, quando si studiano i progetti interessati, Sono state rilevate 4 varianti di infezione. In una delle opzioni da attivare la porta sul retro in Linux, il file di esecuzione automatica «$ HOME / .config / autostart / octo.desktop » e su Windows, le attività sono state avviate tramite schtasks per iniziare.

La backdoor potrebbe essere utilizzata per aggiungere segnalibri al codice sviluppato dagli sviluppatori, organizzare la fuga di codice da sistemi proprietari, rubare dati sensibili e acquisire account.

Di seguito è riportata una panoramica di alto livello del funzionamento dello scanner Octopus:

  1. Identifica la directory NetBeans dell'utente
  2. Elenca tutti i progetti nella directory NetBeans
  3. Carica il codice in cache.datanbproject / cache.dat
  4. Modifica nbproject / build-impl.xml per assicurarti che il payload venga eseguito ogni volta che viene creato il progetto NetBeans
  5. Se il payload dannoso è un'istanza dello scanner Octopus, anche il file JAR appena creato è infetto.

I ricercatori di GitHub non escludono tale attività dannosa non è limitata a NetBeans e potrebbero esserci altre varianti di Octopus Scanner che può essere integrato nel processo di costruzione basato su Make, MsBuild, Gradle e altri sistemi.

I nomi dei progetti interessati non vengono menzionati, ma possono essere facilmente trovati tramite una ricerca su GitHub per la maschera "CACHE.DAT".

Tra i progetti che hanno trovato tracce di attività dannose: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulations, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario-FR-.

fonte: https://securitylab.github.com/


Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile del trattamento: AB Internet Networks 2008 SL
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.

  1.   mocovirud suddetto
    fa 4 anni

    Proprio quando Microsoft ha acquistato GitHub:

    https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1

    Eccessiva coincidenza, ehm.

    Rispondi a Mocovirud