Octopus Scanner: een malware die NetBeans aantast en waarmee achterdeurtjes kunnen worden geplaatst

Darkcrizt

4 minuten

De melding dat Er zijn verschillende infectieprojecten gedetecteerd op GitHub malware die zijn gericht op de populaire IDE "NetBeans" en die wordt gebruikt in het compilatieproces om de malware te verspreiden.

Uit het onderzoek bleek dat met behulp van de malware in kwestie, die Octopus Scanner heettewaren achterdeurtjes heimelijk verborgen in 26 openstaande projecten met repositories op GitHub. De eerste sporen van de Octopus Scanner-manifestatie dateren van augustus 2018.

Het beveiligen van de open source supply chain is een enorme taak. Het gaat veel verder dan een beveiligingsbeoordeling of alleen het patchen van de nieuwste CVE's. Supply chain security gaat over de integriteit van het gehele ecosysteem voor softwareontwikkeling en levering. Van het compromitteren van de code tot de manier waarop ze door de CI / CD-pijplijn stromen tot de daadwerkelijke levering van releases, er is een potentieel voor verlies van integriteit en beveiligingsproblemen, gedurende de hele levenscyclus.

Over Octopus Scanner

Deze malware is ontdekt u kunt bestanden detecteren met NetBeans-projecten en uw eigen code toevoegen om bestanden en verzamelde JAR-bestanden te projecteren.

Het werkende algoritme is om de NetBeans-directory te vinden met gebruikersprojecten, herhaal alle projecten in deze map om het kwaadaardige script in nbproject / cache.dat te kunnen plaatsen en breng wijzigingen aan in het bestand nbproject / build-impl.xml om dit script elke keer dat het project wordt gebouwd aan te roepen.

Tijdens het compileren, een kopie van de malware is opgenomen in de resulterende JAR-bestanden, die een extra bron van distributie worden. Er werden bijvoorbeeld kwaadaardige bestanden geplaatst in de repositories van de eerder genoemde 26 open projecten, evenals in verschillende andere projecten bij het vrijgeven van builds van nieuwe versies.

Op 9 maart ontvingen we een bericht van een beveiligingsonderzoeker die ons informeerde over een reeks opslagplaatsen die op GitHub werden gehost en die vermoedelijk onbedoeld malware dienden. Na een grondige analyse van de malware zelf, ontdekten we iets dat we nog niet eerder op ons platform hadden gezien: malware die is ontworpen om NetBeans-projecten op te sommen en een achterdeur te plaatsen die het bouwproces en de resulterende artefacten gebruikt om zich te verspreiden.

Bij het uploaden en starten van een project met een kwaadaardig JAR-bestand door een andere gebruiker, de volgende zoekcyclus van NetBeans en introductie van kwaadaardige code begint in uw systeem, wat overeenkomt met het werkende model van zichzelf voortplantende computervirussen.

Figuur 1: Gedecompileerde octopusscanner

Naast de functionaliteit voor zelfdistributie, bevat de kwaadaardige code ook backdoor-functies om externe toegang tot het systeem te bieden. Op het moment dat het incident werd geanalyseerd, waren de backdoor management (C&C) servers niet actief.

In totaal, bij het bestuderen van de getroffen projecten, Er werden 4 infectievarianten onthuld. In een van de opties om te activeren de achterdeur in Linux, het autorun-bestand «$ HOME / .config / autostart / octo.desktop » en op windows werden de taken gestart via schtasks om te starten.

De achterdeur kan worden gebruikt om bladwijzers toe te voegen aan door ontwikkelaars ontwikkelde code, het lekken van code uit eigen systemen te organiseren, gevoelige gegevens te stelen en accounts vast te leggen.

Hieronder vindt u een algemeen overzicht van de werking van de Octopus-scanner:

  1. Identificeer de NetBeans-directory van de gebruiker
  2. Maak een lijst van alle projecten in de NetBeans-directory
  3. Laad de code in cache.datanbproject / cache.dat
  4. Wijzig nbproject / build-impl.xml om ervoor te zorgen dat de payload wordt uitgevoerd elke keer dat het NetBeans-project wordt gebouwd
  5. Als de kwaadaardige payload een instantie van de Octopus-scanner is, is het nieuw gemaakte JAR-bestand ook geïnfecteerd.

GitHub-onderzoekers sluiten niet uit die kwaadaardige activiteit is niet beperkt tot NetBeans en er kunnen andere varianten van Octopus Scanner zijn die kunnen worden geïntegreerd in het bouwproces op basis van Make, MsBuild, Gradle en andere systemen.

De namen van de betrokken projecten worden niet genoemd, maar kunnen gemakkelijk worden gevonden via een GitHub-zoekopdracht voor het masker "CACHE.DAT".

Onder de projecten die sporen van kwaadaardige activiteit hebben gevonden: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulations, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundi, pacman-java_ia, SuperMario- FR-.

bron: https://securitylab.github.com/


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: AB Internet Networks 2008 SL
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   Mocovirus zei
    geleden Tot 4 jaar

    Precies toen Microsoft github kocht:

    https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1

    Overmatig toeval, ahem.

    Reageer op Mocovirud