Pengimbas Octopus: perisian hasad yang mempengaruhi NetBeans dan membolehkan tempat letak belakang diletakkan

Darkcrizt

Minit 4

Pemberitahuan bahawa Pelbagai projek jangkitan telah dikesan di GitHub perisian hasad yang diarahkan ke IDE "NetBeans" yang popular dan yang digunakan dalam proses penyusunan untuk menyebarkan perisian hasad.

Siasatan menunjukkan bahawa dengan bantuan perisian hasad yang dimaksudkan, yang dipanggil Pengimbas Octopus, pintu belakang disembunyikan secara tersembunyi dalam 26 projek terbuka dengan repositori di GitHub. Jejak pertama manifestasi Octopus Scanner bertarikh Ogos 2018.

Menjamin rantaian bekalan sumber terbuka adalah tugas besar. Ini jauh melampaui penilaian keselamatan atau hanya memperbaiki CVE terkini. Keselamatan rantaian bekalan adalah mengenai integriti keseluruhan pembangunan perisian dan ekosistem penghantaran. Dari kompromi kod, hingga bagaimana mereka mengalir melalui saluran paip CI / CD, hingga penyampaian pelepasan yang sebenarnya, ada kemungkinan hilangnya masalah integritas dan keamanan, sepanjang keseluruhan siklus hidup.

Mengenai Pengimbas Octopus

Perisian jahat ini ditemui anda dapat mengesan fail dengan projek NetBeans dan menambah kod anda sendiri untuk memproyeksikan fail dan mengumpulkan fail JAR.

Algoritma yang berfungsi adalah mencari direktori NetBeans dengan projek pengguna, lakukan iterasi pada semua projek dalam direktori ini untuk dapat meletakkan skrip jahat di nbproject / cache.dat dan buat perubahan pada fail nbproject / build-impl.xml untuk memanggil skrip ini setiap kali projek dibina.

Semasa penyusunan, salinan perisian hasad dimasukkan ke dalam fail JAR yang dihasilkan, yang menjadi sumber pengedaran tambahan. Sebagai contoh, fail berbahaya diletakkan di repositori 26 projek terbuka yang disebutkan di atas, dan juga dalam pelbagai projek lain ketika melepaskan versi baru.

Pada 9 Mac, kami menerima mesej dari penyelidik keselamatan yang memaklumkan kepada kami tentang sekumpulan repositori yang dihoskan di GitHub yang mungkin melayani perisian hasad secara tidak sengaja. Setelah analisis mendalam mengenai perisian hasad itu sendiri, kami menemui sesuatu yang belum pernah kami saksikan sebelumnya di platform kami: perisian hasad yang direka untuk menghitung projek NetBeans dan meletakkan di pintu belakang yang menggunakan proses membina dan artifak yang dihasilkan untuk tersebar.

Semasa memuat naik dan memulakan projek dengan fail JAR jahat oleh pengguna lain, kitaran carian seterusnya NetBeans dan pengenalan kod jahat bermula dalam sistem anda, yang sesuai dengan model kerja virus komputer yang menyebarkan diri.

Gambar 1: Imbasan Gurita Terurai

Sebagai tambahan kepada fungsi untuk pengedaran diri, kod jahat juga merangkumi fungsi pintu belakang untuk menyediakan akses jauh ke sistem. Pada masa kejadian dianalisis, pelayan pengurusan pintu belakang (C&C) tidak aktif.

Secara keseluruhannya, semasa mengkaji projek yang terlibat, 4 varian jangkitan dinyatakan. Dalam salah satu pilihan untuk mengaktifkan pintu belakang di Linux, fail autorun «$ RUMAH / .config / autostart / octo.desktop » dan pada windows tugas-tugas dimulakan melalui schtasks untuk bermula.

Pintu belakang boleh digunakan untuk menambahkan penanda halaman ke kod yang dikembangkan oleh pemaju, mengatur kebocoran kod dari sistem proprietari, mencuri data sensitif, dan menangkap akaun.

Berikut adalah gambaran umum tahap tinggi operasi pengimbas Octopus:

  1. Kenal pasti direktori NetBeans pengguna
  2. Senaraikan semua projek dalam direktori NetBeans
  3. Muatkan kod di cache.datanbproject / cache.dat
  4. Ubah suai nbproject / build-impl.xml untuk memastikan muatan dilaksanakan setiap kali projek NetBeans dibina
  5. Sekiranya muatan berbahaya adalah contoh pengimbas Octopus, fail JAR yang baru dibuat juga dijangkiti.

Penyelidik GitHub tidak mengecualikan bahawa aktiviti jahat tidak terhad kepada NetBeans dan mungkin terdapat varian lain dari Octopus Scanner yang dapat diintegrasikan ke dalam proses binaan berdasarkan sistem Make, MsBuild, Gradle dan sistem lain.

Nama-nama projek yang terjejas tidak disebutkan, tetapi dapat dijumpai dengan mudah melalui carian GitHub untuk topeng "CACHE.DAT".

Antara projek yang menemui kesan aktiviti jahat: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulations, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario-FR-.

Fuente: https://securitylab.github.com/


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab untuk data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.

  1.   mucovirus kata
    membuat 4 tahun

    Tepat ketika Microsoft membeli github:

    https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1

    Kebetulan yang berlebihan, ahem.

    Balas Mocovirud