Octopus Scanner : NetBeans에 영향을 미치고 백도어를 배치 할 수있는 맬웨어

Darkcrizt

4 분

알림 GitHub에서 다양한 감염 프로젝트가 발견되었습니다. 악성 코드 널리 사용되는 IDE "NetBeans"로 지정됩니다. 컴파일 과정에서 사용되는 맬웨어를 배포합니다.

조사 결과 문제의 맬웨어의 도움으로 Octopus Scanner라는, 백도어는 26 개의 공개 프로젝트에서 은밀하게 숨겨졌습니다. GitHub의 저장소와 함께. Octopus Scanner 출현의 첫 번째 흔적은 2018 년 XNUMX 월입니다.

오픈 소스 공급망을 확보하는 것은 엄청난 작업입니다. 보안 평가 또는 최신 CVE 패치를 넘어서는 것입니다. 공급망 보안은 전체 소프트웨어 개발 및 제공 생태계의 무결성에 관한 것입니다. 코드 손상부터 CI / CD 파이프 라인을 통한 흐름, 릴리스의 실제 전달에 이르기까지 전체 수명주기 동안 무결성 및 보안 문제가 손실 될 가능성이 있습니다.

Octopus 스캐너 정보

이 악성 코드는 NetBeans 프로젝트로 파일을 감지하고 자신의 코드를 추가 할 수 있습니다. 프로젝트 파일 및 수집 된 JAR 파일에.

작동 알고리즘은 NetBeans 디렉토리를 찾는 것입니다. 사용자 프로젝트의 경우이 디렉토리의 모든 프로젝트를 반복합니다. nbproject / cache.dat에 악성 스크립트를 배치 할 수 있습니다. 프로젝트가 빌드 될 때마다이 스크립트를 호출하도록 nbproject / build-impl.xml 파일을 변경하십시오.

컴파일하는 동안 악성 코드의 사본이 결과 JAR 파일에 포함됩니다. 추가 배포 소스가됩니다. 예를 들어, 앞서 언급 한 26 개의 오픈 프로젝트 저장소에 악성 파일이 저장되어 뿐만 아니라 새 버전의 빌드를 출시 할 때 다양한 다른 프로젝트에서.

9 월 XNUMX 일에 우리는 보안 연구원으로부터 의도 치 않게 악성 코드를 제공하는 것으로 추정되는 GitHub에 호스팅 된 리포지토리 집합에 대해 알려주는 메시지를 받았습니다. 멀웨어 자체를 심층 분석 한 후 플랫폼에서 이전에는 볼 수 없었던 것을 발견했습니다. NetBeans 프로젝트를 열거하도록 설계된 멀웨어는 빌드 프로세스와 그에 따른 결과물을 사용하여 확산되는 백도어에 넣었습니다.

다른 사용자가 악성 JAR 파일로 프로젝트를 업로드하고 시작할 때 다음 검색주기 NetBeans 및 악성 코드 도입 시스템에서 시작,자가 전파 컴퓨터 바이러스의 작업 모델에 해당합니다.

그림 1 : 디 컴파일 된 Octopus 스캔

자체 배포 기능 외에도 악성 코드에는 시스템에 대한 원격 액세스를 제공하는 백도어 기능도 포함되어 있습니다. 사고 분석 당시 백도어 관리 (C & C) 서버는 활성화되지 않았습니다.

전체적으로 영향을받은 프로젝트를 연구 할 때 4 개의 감염 변종이 밝혀졌습니다. 활성화 옵션 중 하나에서 리눅스의 뒷문, 자동 실행 파일«$ 홈 / .config / autostart / octo.desktop» Windows에서 작업은 schtasks를 통해 시작되었습니다.

백도어는 개발자가 개발 한 코드에 북마크를 추가하고, 독점 시스템에서 코드 유출을 구성하고, 민감한 데이터를 훔치고, 계정을 캡처하는 데 사용할 수 있습니다.

다음은 Octopus 스캐너 작동에 대한 개략적 인 개요입니다.

  1. 사용자의 NetBeans 디렉토리 식별
  2. NetBeans 디렉토리의 모든 프로젝트 나열
  3. cache.datanbproject / cache.dat에 코드를로드합니다.
  4. NetBeans 프로젝트가 빌드 될 때마다 페이로드가 실행되도록 nbproject / build-impl.xml을 수정하십시오.
  5. 악성 페이로드가 Octopus 스캐너의 인스턴스 인 경우 새로 생성 된 JAR 파일도 감염됩니다.

GitHub 연구원은 제외하지 않습니다 악성 활동은 NetBeans에만 국한되지 않으며 Octopus Scanner의 다른 변종이있을 수 있습니다. Make, MsBuild, Gradle 및 기타 시스템을 기반으로하는 빌드 프로세스에 통합 될 수 있습니다.

영향을받는 프로젝트의 이름은 언급되지 않았지만 GitHub에서 "CACHE.DAT"마스크 검색을 통해 쉽게 찾을 수 있습니다.

악성 활동의 흔적을 발견 한 프로젝트 중 : V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulations, PacmanGame, guessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario-FR-.

출처 : https://securitylab.github.com/


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자: AB Internet Networks 2008 SL
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.

  1.   모코바이러스
    4 년

    Microsoft가 github를 구입했을 때 :

    https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1

    우연의 일치, 에헴.

    Mocovirud에 답장