Octopus Scanner: un malware que afecta a NetBeans y permite colocar backdoors

Hace poco se dio a conocer la notifica de que en GitHub se han detectado diversos proyectos de infección de malware que están dirigidos al popular IDE “NetBeans” y el cual es utilizando en el proceso de compilación para realizar la distribución del malware.

La investigación mostró que con la ayuda del malware en cuestión, que se llamaba Octopus Scanner, backdoors se ocultaron de manera encubierta en 26 proyectos abiertos con repositorios en GitHub. Los primeros rastros de la manifestación de Octopus Scanner están fechados en agosto de 2018.

Asegurar la cadena de suministro de código abierto es una tarea enorme. Va mucho más allá de una evaluación de seguridad o simplemente parchear los últimos CVE. La seguridad de la cadena de suministro se trata de la integridad de todo el ecosistema de desarrollo y entrega de software. Desde el compromiso del código, hasta cómo fluyen a través de la canalización de CI / CD, hasta la entrega real de lanzamientos, existe la posibilidad de pérdida de problemas de integridad y seguridad, a lo largo de todo el ciclo de vida.

Sobre Octopus Scanner

Este malware descubierto puede detectar archivos con proyectos de NetBeans y agregar su propio código a los archivos de proyecto y archivos JAR recopilados.

El algoritmo de trabajo es encontrar el directorio de NetBeans con proyectos de usuario, iterar sobre todos los proyectos en este directorio para poder realizar la colocación del script malicioso en nbproject/cache.dat y realizar cambios en el archivo nbproject/build-impl.xml para llamar a este script cada vez que se construye el proyecto.

Durante la compilación, se incluye una copia del malware en los archivos JAR resultantes, que se convierten en una fuente de distribución adicional. Por ejemplo, se colocaron archivos maliciosos en los repositorios de los 26 proyectos abiertos antes mencionados, así como en varios otros proyectos al publicar compilaciones de nuevas versiones.

El 9 de marzo, recibimos un mensaje de un investigador de seguridad que nos informaba sobre un conjunto de repositorios alojados en GitHub que presumiblemente estaban sirviendo malware de manera no intencional. Después de un análisis profundo del malware en sí, descubrimos algo que no habíamos visto antes en nuestra plataforma: malware diseñado para enumerar proyectos de NetBeans y colocar una puerta trasera que utiliza el proceso de compilación y sus artefactos resultantes para propagarse.

Al cargar e iniciar un proyecto con un archivo JAR malicioso por otro usuario, el siguiente ciclo de búsqueda de NetBeans e introducción de código malicioso comienza en su sistema, que corresponde al modelo de trabajo de los virus informáticos de propagación automática.

Figura 1: escáner de pulpo descompilado

Además de la funcionalidad para la auto-distribución, el código malicioso también incluye funciones de backdoor para proporcionar acceso remoto al sistema. En el momento en que se analizó el incidente, los servidores de administración del backdoor (C&C) no estaban activos.

En total, al estudiar los proyectos afectados, se revelaron 4 variantes de infección. En una de las opciones para activar la puerta trasera en Linux, se creó el archivo de ejecución automática «$ HOME/.config/autostart/octo.desktop» y en Windows, las tareas se iniciaron a través de schtasks para comenzar.

La puerta trasera podría usarse para agregar marcadores al código desarrollado por el desarrollador, organizar la fuga de código de los sistemas propietarios, robar datos confidenciales y capturar cuentas.

A continuación se muestra una descripción de alto nivel de la operación del escáner Octopus:

  1. Identificar el directorio NetBeans del usuario
  2. Enumerar todos los proyectos en el directorio de NetBeans
  3. Carga el codigo en cache.datanbproject/cache.dat
  4. Modificar nbproject/build-impl.xml para asegurarse de que la carga maliciosa se ejecuta cada vez que se construye el proyecto NetBeans
  5. Si la carga maliciosa es una instancia del escáner Octopus, el archivo JAR recién creado también está infectado.

Los investigadores de GitHub no excluyen que la actividad maliciosa no se limite a NetBeans y puede haber otras variantes de Octopus Scanner que pueden integrarse en el proceso de compilación basado en Make, MsBuild, Gradle y otros sistemas.

No se mencionan los nombres de los proyectos afectados, pero pueden ser fácilmente encontrados a través de una búsqueda en GitHub por la máscara «CACHE.DAT».

Entre los proyectos que encontraron rastros de actividad maliciosa: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulations, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario- FR-.

Fuente: https://securitylab.github.com/


Un comentario, deja el tuyo

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.