ההודעה ש פרויקטים שונים של זיהום אותרו ב- GitHub תוכנה זדונית המופנים ל- IDE הפופולרי "NetBeans" ואשר משתמש בתהליך ההידור להפיץ את התוכנה הזדונית.
החקירה הראתה זאת בעזרת התוכנה הזדונית המדוברת, אשר נקרא תמנון סורק, דלתות אחוריות הוסתרו באופן סמוי ב -26 פרויקטים פתוחים עם מאגרים ב- GitHub. העקבות הראשונים לביטוי סורק התמנון הם מתאריך אוגוסט 2018.
אבטחת שרשרת האספקה בקוד פתוח היא משימה ענקית. זה הרבה מעבר להערכה ביטחונית או סתם תיקון CVE האחרונים. אבטחת שרשרת האספקה נוגעת לשלמות המערכת האקולוגית כולה לפיתוח תוכנה ומסירה. החל מפשרה בקוד, לאופן שבו הם זורמים דרך צינור ה- CI / CD, ועד למסירת המהדורות בפועל, קיים פוטנציאל לאובדן בעיות שלמות ואבטחה לאורך כל מחזור החיים.
על תמנון סורק
תוכנה זדונית זו התגלתה אתה יכול לזהות קבצים עם פרויקטים של NetBeans ולהוסיף קוד משלך להקצאת קבצי קבצי JAR שנאספו.
האלגוריתם העובד הוא למצוא את ספריית NetBeans עם פרויקטים של משתמשים, חזרו על כל הפרויקטים בספרייה זו כדי להציב את הסקריפט הזדוני ב- nbproject / cache.dat ובצע שינויים בקובץ nbproject / build-impl.xml כדי לקרוא לתסריט זה בכל פעם שהפרויקט נבנה.
במהלך האוסף, עותק של התוכנה הזדונית כלול בקבצי ה- JAR שנוצרו, שהופכים למקור הפצה נוסף. לדוגמה, קבצים זדוניים הושמו במאגרים של 26 הפרויקטים הפתוחים כאמור, כמו גם בפרויקטים שונים אחרים בעת פרסום גרסאות חדשות.
ב -9 במרץ קיבלנו הודעה מחוקר אבטחה שיידע אותנו על קבוצת מאגרים המתארחים ב- GitHub, ככל הנראה שמגישים תוכנות זדוניות שלא בכוונה. לאחר ניתוח מעמיק של התוכנה הזדונית, גילינו משהו שלא ראינו בעבר בפלטפורמה שלנו: תוכנות זדוניות שנועדו למנות פרויקטים של NetBeans ולהכניס לדלת אחורית המשתמשת בתהליך הבנייה ובממצאים הנובעים מכך כדי להתפשט.
כאשר מעלים ומתחילים פרויקט עם קובץ JAR זדוני על ידי משתמש אחר, מחזור החיפוש הבא של NetBeans והכנסת קוד זדוני מתחיל במערכת שלך, המתאים למודל העבודה של נגיפי מחשב המופצים עצמית.
בנוסף לפונקציונליות להפצה עצמית, הקוד הזדוני כולל גם פונקציות של דלת אחורית כדי לספק גישה מרחוק למערכת. בזמן ניתוח האירוע, שרתי ניהול הדלת האחורית (C&C) לא היו פעילים.
בסך הכל, כאשר לומדים את הפרויקטים המושפעים, נחשפו 4 גרסאות זיהום. באחת מאפשרויות ההפעלה הדלת האחורית בלינוקס, קובץ ההפעלה האוטומטית «$ HOME / .config / autostart / octo.desktop » ובחלונות המשימות התחילו באמצעות schtaskks כדי להתחיל.
באמצעות הדלת האחורית ניתן להוסיף סימניות לקוד שפותח על ידי מפתח, לארגן דליפת קוד ממערכות קנייניות, לגנוב נתונים רגישים וללכוד חשבונות.
להלן סקירה ברמה גבוהה על פעולת סורק התמנון:
- זהה את ספריית NetBeans של המשתמש
- ציין את כל הפרויקטים בספריית NetBeans
- טען את הקוד ב- cache.datanbproject / cache.dat
- שנה את nbproject / build-impl.xml כדי לוודא שהמטען מבוצע בכל פעם שנבנה פרויקט NetBeans
- אם המטען הזדוני הוא מופע של סורק התמנון, קובץ ה- JAR החדש שנוצר נגוע גם כן.
חוקרי GitHub אינם שוללים פעילות זדונית אינה מוגבלת ל- NetBeans ויכולות להיות גרסאות אחרות של Octopus Scanner שניתן לשלב בתהליך הבנייה המבוסס על מערכות Make, MsBuild, Gradle ומערכות אחרות.
שמות הפרויקטים המושפעים אינם מוזכרים, אך ניתן למצוא אותם בקלות באמצעות חיפוש GitHub אחר המסכה "CACHE.DAT".
בין הפרויקטים שמצאו עקבות של פעילות זדונית: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulations, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario-FR-.
מקור: https://securitylab.github.com/
בדיוק כשמיקרוסופט רכשה את github:
https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1
צירוף מקרים מוגזם, אהמ.