Aštuonkojų skaitytuvas: kenkėjiška programa, veikianti „NetBeans“ ir leidžianti įdėti užpakalines duris

Darkcrizt

4 minučių

Pranešimas, kad „GitHub“ buvo aptikti įvairūs infekcijos projektai kenkėjiškų programų nukreipti į populiarų IDE „NetBeans“ kurį naudoja kompiliavimo procese išplatinti kenkėjišką programą.

Tyrimas tai parodė atitinkamos kenkėjiškos programos pagalba, kuris buvo vadinamas aštuonkojų skaitytuvu, užpakalinės durys buvo slapta paslėptos 26 atviruose projektuose su „GitHub“ saugyklomis. Pirmieji aštuonkojų skaitytuvo apraiškos pėdsakai yra 2018 m. Rugpjūčio mėn.

Užtikrinti atvirojo kodo tiekimo grandinę yra didžiulė užduotis. Tai neapsiriboja saugumo vertinimu ar tiesiog pataiso naujausius CVE. Tiekimo grandinės saugumas yra susijęs su visos programinės įrangos kūrimo ir pristatymo ekosistemos vientisumu. Nuo kodo kompromiso iki jų srauto per CI / CD dujotiekį iki faktinio leidimų pristatymo yra galimybė prarasti vientisumą ir saugumo problemas per visą gyvenimo ciklą.

Apie aštuonkojų skaitytuvą

Atrasta ši kenkėjiška programa galite aptikti failus naudodami „NetBeans“ projektus ir pridėti savo kodą projektuoti failus ir surinktus JAR failus.

Darbinis algoritmas yra rasti „NetBeans“ katalogą su vartotojų projektais kartokite visus šio katalogo projektus kad būtų galima įdėti kenkėjišką scenarijų į nbproject / cache.dat ir atlikite pakeitimus faile „nbproject / build-impl.xml“, kad paskambintumėte šiam scenarijui kiekvieną kartą, kai tik kuriamas projektas.

Kompiliavimo metu kenkėjiškos programos kopija yra įtraukta į gautus JAR failus, kurie tampa papildomu platinimo šaltiniu. Pavyzdžiui, kenksmingi failai buvo patalpinti į minėtų 26 atvirų projektų saugyklas, taip pat įvairiuose kituose projektuose išleidžiant naujų versijų versijas.

Kovo 9 d. Gavome pranešimą iš saugumo tyrėjo, kuriame buvo pranešta apie „GitHub“ talpinamų saugyklų rinkinį, kuris, tikėtina, netyčia aptarnauja kenkėjiškas programas. Išsamiai išanalizavę pačią kenkėjišką programą, mes radome tai, ko dar nematėme savo platformoje: kenkėjišką programą, skirtą „NetBeans“ projektams išvardyti, ir įdėjome į užpakalinę duris, kurios plitimui naudoja kūrimo procesą ir jo artefaktus.

Įkeliant ir pradedant projektą su kito vartotojo kenkėjišku JAR failu, kitą paieškos ciklą „NetBeans“ ir kenkėjiškų kodų įvedimas prasideda jūsų sistemoje, kuris atitinka savaime plintančių kompiuterinių virusų veikimo modelį.

1 paveikslas: Decompiled Octopus Scan

Be savarankiško platinimo funkcijų, kenkėjiškame kode taip pat yra užpakalinės funkcijos, suteikiančios nuotolinę prieigą prie sistemos. Tuo metu, kai buvo analizuojamas įvykis, užpakalinių durų valdymo (C&C) serveriai nebuvo aktyvūs.

Iš viso, tiriant nukentėjusius projektus, Buvo atskleisti 4 infekcijos variantai. Vienoje iš aktyvavimo parinkčių galinės durys „Linux“, automatinio paleidimo failas «$ PRADŽIA / .config / autostart / octo.desktop » ir sistemoje „Windows“ užduotys buvo pradėtos per schtasks pradėti.

Užpakalinę duris galima naudoti norint pridėti žymes prie kūrėjo sukurto kodo, organizuoti kodų nutekėjimą iš nuosavų sistemų, pavogti neskelbtinus duomenis ir fiksuoti paskyras.

Žemiau pateikiama aukšto lygio skaitytuvo „Octopus“ apžvalga:

  1. Nustatykite vartotojo „NetBeans“ katalogą
  2. Išvardykite visus „NetBeans“ katalogo projektus
  3. Įkelkite kodą į cache.datanbproject / cache.dat
  4. Pakeiskite „nbproject / build-impl.xml“, kad įsitikintumėte, jog naudingoji apkrova vykdoma kiekvieną kartą kuriant „NetBeans“ projektą
  5. Jei kenksminga naudingoji apkrova yra „Octopus“ skaitytuvo egzempliorius, užkrėstas ir naujai sukurtas JAR failas.

„GitHub“ tyrėjai neatmeta galimybės kad kenkėjiška veikla neapsiriboja „NetBeans“ ir gali būti kitų „Octopus Scanner“ variantų kurį galima integruoti į kūrimo procesą, pagrįstą „Make“, „MsBuild“, „Gradle“ ir kitomis sistemomis.

Paveiktų projektų pavadinimai neminimi, tačiau juos lengvai galima rasti ieškant „GitHub“ kaukės „CACHE.DAT“.

Tarp projektų, kuriuose rasta kenkėjiškos veiklos pėdsakų: „V2Mp3Player“, „JavaPacman“, „Kosim-Framework“, „2D-Physics“ - modeliavimas, „PacmanGame“, „GuessTheAnimal“, „SnakeCenterBox4“, „CallCenter“, „ProyectoGerundio“, „pacman-java_ia“, „SuperMario- FR-“.

Fuente: https://securitylab.github.com/


Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Už duomenis atsakingas: AB Internet Networks 2008 SL
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.

  1.   mukovirusas sakė
    prieš 4 metai

    Teisingai, kai „Microsoft“ įsigijo „github“:

    https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1

    Pernelyg didelis sutapimas.

    Atsakymas į Mocovirud