Octopus Scanner: złośliwe oprogramowanie, które wpływa na NetBeans i umożliwia umieszczanie backdoorów

Darkcrizt

4 minut

Powiadomienie, że W GitHub wykryto różne projekty infekcji złośliwe oprogramowanie które są skierowane do popularnego środowiska IDE „NetBeans” i który jest używany w procesie kompilacji rozpowszechniać złośliwe oprogramowanie.

Dochodzenie to wykazało z pomocą danego złośliwego oprogramowania, który nazywał się Octopus Scanner, backdoory zostały potajemnie ukryte w 26 otwartych projektach z repozytoriami na GitHub. Pierwsze ślady manifestacji Octopus Scanner pochodzą z sierpnia 2018 roku.

Zabezpieczenie łańcucha dostaw open source to ogromne zadanie. Wykracza poza ocenę bezpieczeństwa lub po prostu łatanie najnowszych CVE. Bezpieczeństwo łańcucha dostaw dotyczy integralności całego ekosystemu tworzenia i dostarczania oprogramowania. Od złamania kodu, przez jego przepływ przez potok ciągłej integracji / ciągłego wdrażania, po faktyczne dostarczanie wydań, istnieje możliwość utraty integralności i problemów z bezpieczeństwem przez cały cykl życia.

O skanerze Octopus

To wykryto złośliwe oprogramowanie możesz wykrywać pliki za pomocą projektów NetBeans i dodawać własny kod do plików projektu i zebranych plików JAR.

Działający algorytm polega na znalezieniu katalogu NetBeans z projektami użytkowników, iteruj po wszystkich projektach w tym katalogu aby móc umieścić złośliwy skrypt w nbproject / cache.dat i wprowadź zmiany w pliku nbproject / build-impl.xml, aby wywoływać ten skrypt za każdym razem, gdy projekt jest budowany.

Podczas kompilacji kopia szkodliwego oprogramowania jest zawarta w wynikowych plikach JAR, które stają się dodatkowym źródłem dystrybucji. Na przykład szkodliwe pliki zostały umieszczone w repozytoriach wspomnianych 26 otwartych projektów, a także w różnych innych projektach podczas wydawania kompilacji nowych wersji.

9 marca otrzymaliśmy wiadomość od analityka bezpieczeństwa, informującą nas o zestawie repozytoriów hostowanych na GitHubie, które prawdopodobnie nieumyślnie serwowały złośliwe oprogramowanie. Po dogłębnej analizie samego złośliwego oprogramowania odkryliśmy coś, czego wcześniej nie widzieliśmy na naszej platformie: złośliwe oprogramowanie zaprojektowane do wyliczania projektów NetBeans i umieszczania backdoora, który wykorzystuje proces kompilacji i wynikające z niego artefakty do rozprzestrzeniania.

Podczas przesyłania i uruchamiania projektu ze złośliwym plikiem JAR przez innego użytkownika, następny cykl wyszukiwania NetBeans i wprowadzenie złośliwego kodu uruchamia się w systemie, co odpowiada działającemu modelowi samoczynnie rozmnażających się wirusów komputerowych.

Rysunek 1: Zdekompilowany skaner ośmiornicy

Oprócz funkcji samodzielnej dystrybucji szkodliwy kod zawiera również funkcje backdoora zapewniające zdalny dostęp do systemu. W czasie analizy incydentu serwery zarządzania backdoorami (C&C) nie były aktywne.

Ogółem podczas badania projektów, na które ma to wpływ, Ujawniono 4 warianty infekcji. W jednej z opcji do aktywacji tylne drzwi w Linuksie, plik autorun «$ HOME / .config / autostart / octo.desktop » aw oknach zadania były uruchamiane za pomocą schtasks na początek.

Backdoor może służyć do dodawania zakładek do kodu opracowanego przez programistów, organizowania wycieku kodu z zastrzeżonych systemów, kradzieży poufnych danych i przechwytywania kont.

Poniżej znajduje się ogólny przegląd działania skanera Octopus:

  1. Zidentyfikuj katalog NetBeans użytkownika
  2. Wyświetl wszystkie projekty w katalogu NetBeans
  3. Załaduj kod w cache.datanbproject / cache.dat
  4. Zmodyfikuj plik nbproject / build-impl.xml, aby upewnić się, że ładunek jest wykonywany za każdym razem, gdy budowany jest projekt NetBeans
  5. Jeśli złośliwym ładunkiem jest instancja skanera Octopus, zainfekowany jest również nowo utworzony plik JAR.

Badacze GitHub nie wykluczają złośliwa aktywność nie ogranicza się do NetBeans i mogą istnieć inne warianty Octopus Scanner które można zintegrować z procesem kompilacji w oparciu o systemy Make, MsBuild, Gradle i inne.

Nazwy projektów, których dotyczy problem, nie są wymienione, ale można je łatwo znaleźć, wyszukując w serwisie GitHub maskę „CACHE.DAT”.

Wśród projektów, w których znaleziono ślady złośliwej aktywności: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulations, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario-FR-.

źródło: https://securitylab.github.com/


Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: AB Internet Networks 2008 SL
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   mukowirus powiedział
    temu 4 roku

    Zaraz, gdy Microsoft kupił github:

    https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1

    Nadmierny zbieg okoliczności, ahem.

    Odpowiedz na Mocovirud