Octopus Scanner: en skadelig programvare som påvirker NetBeans og lar bakdører plasseres

Darkcrizt

4 minutter

Varslingen om at Ulike infeksjonsprosjekter har blitt oppdaget på GitHub skadevare som er rettet til den populære IDE "NetBeans" og som bruker i kompileringsprosessen å distribuere skadelig programvare.

Etterforskningen viste det ved hjelp av skadelig programvare, som ble kalt Octopus Scannerble bakdører skjult i 26 åpne prosjekter med arkiver på GitHub. De første sporene av Octopus Scanner-manifestasjonen er datert august 2018.

Sikring av forsyningskjeden med åpen kildekode er en enorm oppgave. Det går langt utover en sikkerhetsvurdering eller bare lappe de nyeste CVE-ene. Forsyningskjedens sikkerhet handler om integriteten til hele økosystemet for programvareutvikling og levering. Fra kodekompromiss, til hvordan de strømmer gjennom CI / CD-rørledningen, til den faktiske leveringen av utgivelser, er det potensial for tap av integritet og sikkerhetsproblemer gjennom hele livssyklusen.

Om blekkspruteskanner

Denne skadelige programvaren oppdaget du kan oppdage filer med NetBeans-prosjekter og legge til din egen kode til prosjektfiler og innsamlede JAR-filer.

Arbeidsalgoritmen er å finne NetBeans-katalogen med brukerprosjekter, gjentas over alle prosjekter i denne katalogen for å kunne plassere det ondsinnede skriptet i nbproject / cache.dat og gjør endringer i filen nbproject / build-impl.xml for å kalle dette skriptet hver gang prosjektet bygges.

Under kompilering, en kopi av skadelig programvare er inkludert i de resulterende JAR-filene, som blir en ekstra distribusjonskilde. For eksempel ble ondsinnede filer plassert i repositoriene til de nevnte 26 åpne prosjektene, så vel som i forskjellige andre prosjekter når de lanserer versjoner av nye versjoner.

9. mars mottok vi en melding fra en sikkerhetsforsker som informerte oss om et sett med depoter som var vert på GitHub som antagelig serverte malware utilsiktet. Etter en dyp analyse av selve skadeprogrammet oppdaget vi noe vi ikke hadde sett før på plattformen vår: skadelig programvare designet for å telle opp NetBeans-prosjekter og legge inn en bakdør som bruker byggeprosessen og dens resulterende gjenstander til å spre seg.

Når du laster opp og starter et prosjekt med en ondsinnet JAR-fil av en annen bruker, neste søkesyklus av NetBeans og innføring av ondsinnet kode starter i systemet ditt, som tilsvarer arbeidsmodellen for selvforplantende datavirus.

Figur 1: Dekompilert blekksprutskanning

I tillegg til funksjonaliteten for egenfordeling inkluderer den ondsinnede koden også bakdørfunksjoner for å gi ekstern tilgang til systemet. På det tidspunktet hendelsen ble analysert, var ikke serverne for bakdøradministrasjon (C&C) aktive.

Totalt når du studerer de berørte prosjektene, 4 infeksjonsvarianter ble avslørt. I et av alternativene for å aktivere bakdøren i Linux, autorun-filen «$ HJEM / .config / autostart / octo.desktop » og på windows ble oppgavene startet via schtasks for å starte.

Bakdøren kan brukes til å legge til bokmerker til utviklerutviklet kode, organisere kodelekkasje fra proprietære systemer, stjele sensitive data og fange kontoer.

Nedenfor er en oversikt på høyt nivå av Octopus-skannerens drift:

  1. Identifiser brukerens NetBeans-katalog
  2. Oppgi alle prosjekter i NetBeans-katalogen
  3. Last inn koden i cache.datanbproject / cache.dat
  4. Endre nbproject / build-impl.xml for å sikre at nyttelasten utføres hver gang NetBeans-prosjektet bygges
  5. Hvis den ondsinnede nyttelasten er en forekomst av Octopus-skanneren, blir den nyopprettede JAR-filen også infisert.

GitHub-forskere ekskluderer ikke ondsinnet aktivitet er ikke begrenset til NetBeans, og det kan være andre varianter av Octopus Scanner som kan integreres i byggeprosessen basert på Make, MsBuild, Gradle og andre systemer.

Navnene på de berørte prosjektene er ikke nevnt, men kan lett bli funnet gjennom et GitHub-søk etter masken "CACHE.DAT".

Blant prosjektene som fant spor etter ondsinnet aktivitet: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulations, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario-FR-.

Fuente: https://securitylab.github.com/


Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: AB Internet Networks 2008 SL
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.

  1.   mucovirud sa
    hace 4 år

    Akkurat da Microsoft kjøpte github:

    https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1

    Overdreven tilfeldighet, ahem.

    Svar på Mocovirud