Astoņkāju skeneris: ļaunprātīga programmatūra, kas ietekmē NetBeans un ļauj novietot aizmugures durvis

Paziņojums, ka GitHub ir atklāti dažādi infekcijas projekti ļaunprātīgu programmatūru kas ir novirzīti uz populāro IDE "NetBeans" un kuru izmanto kompilēšanas procesā izplatīt ļaunprātīgu programmatūru.

Izmeklēšana to parādīja ar attiecīgās ļaunprogrammatūras palīdzību ko sauca par astoņkāju skeneri, aizmugurējās durvis slēpti tika paslēptas 26 atklātos projektos ar GitHub krātuvēm. Pirmās astoņkāju skenera izpausmes pēdas ir datētas ar 2018. gada augustu.

Nodrošināt atvērtā koda piegādes ķēdi ir milzīgs uzdevums. Tas pārsniedz drošības novērtējumu vai tikai jaunāko CVE ielāpīšanu. Piegādes ķēdes drošība ir visa programmatūras izstrādes un piegādes ekosistēmas integritāte. Sākot ar koda kompromisu un beidzot ar to, kā tie plūst caur CI / CD cauruļvadu, līdz faktiskai laidienu piegādei, var būt integritātes un drošības problēmu zaudēšana visā dzīves ciklā.

Par astoņkāju skeneri

Šī ļaunprātīgā programmatūra tika atklāta jūs varat atklāt failus ar NetBeans projektiem un pievienot savu kodu lai projektētu failus un apkopotos JAR failus.

Darba algoritms ir atrast NetBeans direktoriju ar lietotāju projektiem atkārtojiet visus projektus šajā direktorijā lai varētu ievietot ļaunprātīgo skriptu mapē nbproject / cache.dat un veiciet izmaiņas failā nbproject / build-impl.xml, lai izsauktu šo skriptu katru reizi, kad tiek veidots projekts.

Apkopošanas laikā iegūtajos JAR failos ir iekļauta ļaunprātīgas programmatūras kopija, kas kļūst par papildu izplatīšanas avotu. Piemēram, ļaunprātīgi faili tika ievietoti iepriekšminēto 26 atvērto projektu krātuvēs, kā arī dažādos citos projektos, izlaižot jaunu versiju būvējumus.

9. martā mēs saņēmām ziņojumu no drošības pētnieka, informējot mūs par GitHub mitinātu krātuvju kopumu, kas, domājams, neapzināti apkalpo ļaunprātīgu programmatūru. Pēc padziļinātas pašas ļaunprogrammatūras analīzes mēs atklājām kaut ko tādu, ko vēl nebijām redzējuši savā platformā: ļaunprogrammatūra, kas paredzēta NetBeans projektu uzskaitīšanai un ievietoja aizmugurē, kurā izplatīšanai tiek izmantots būvēšanas process un no tā izrietošie artefakti.

Augšupielādējot un uzsākot projektu ar cita lietotāja ļaunprātīgu JAR failu, nākamo meklēšanas ciklu NetBeans un ļaunprātīga koda ieviešana sākas jūsu sistēmā, kas atbilst pašpavairojošo datorvīrusu darba modelim.

Papildus pašizplatīšanas funkcijām ļaunprātīgais kods ietver arī aizmugurējās durvis, lai nodrošinātu attālu piekļuvi sistēmai. Laikā, kad tika analizēts incidents, aizmugures durvju pārvaldības (C&C) serveri nebija aktīvi.

Kopumā, pētot skartos projektus, Tika atklāti 4 infekcijas varianti. Vienā no aktivizēšanas iespējām aizmugurējās durvis Linux, automātiskās palaišanas fails «$ MĀJAS / .config / autostart / octo.desktop » un, lai sāktu, uz Windows tika sākti uzdevumi, izmantojot schtasks.

Aizmugurējo durvju varētu izmantot, lai pievienotu grāmatzīmes izstrādātāja izstrādātajam kodam, organizētu koda noplūdi no patentētām sistēmām, slepenu datu nozagšanu un kontu uztveršanu.

Tālāk ir sniegts augsta līmeņa pārskats par astoņkāju skenera darbību:

1. Identificējiet lietotāja NetBeans direktoriju
2. Uzskaitiet visus projektus NetBeans direktorijā
3. Ielādējiet kodu mapē cache.datanbproject / cache.dat
4. Modificējiet nbproject / build-impl.xml, lai pārliecinātos, ka lietderīgā slodze tiek izpildīta katru reizi, kad tiek veidots NetBeans projekts
5. Ja lietderīgā slodze ir skenera Octopus eksemplārs, tiek inficēts arī jaunizveidotais JAR fails.

GitHub pētnieki neizslēdz ka ļaunprātīga darbība neaprobežojas tikai ar NetBeans un var būt arī citi astoņkāju skenera varianti ko var integrēt būvēšanas procesā, pamatojoties uz Make, MsBuild, Gradle un citām sistēmām.

Ietekmēto projektu nosaukumi nav minēti, bet tos var viegli atrast, izmantojot GitHub meklēšanu maskai "CACHE.DAT".

Starp projektiem, kas atrada ļaunprātīgas darbības pēdas: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-fizika - simulācijas, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario- FR-.

Fuente: https://securitylab.github.com/