Powiadomienie, że W GitHub wykryto różne projekty infekcji złośliwe oprogramowanie które są skierowane do popularnego środowiska IDE „NetBeans” i który jest używany w procesie kompilacji rozpowszechniać złośliwe oprogramowanie.
Dochodzenie to wykazało z pomocą danego złośliwego oprogramowania, który nazywał się Octopus Scanner, backdoory zostały potajemnie ukryte w 26 otwartych projektach z repozytoriami na GitHub. Pierwsze ślady manifestacji Octopus Scanner pochodzą z sierpnia 2018 roku.
Zabezpieczenie łańcucha dostaw open source to ogromne zadanie. Wykracza poza ocenę bezpieczeństwa lub po prostu łatanie najnowszych CVE. Bezpieczeństwo łańcucha dostaw dotyczy integralności całego ekosystemu tworzenia i dostarczania oprogramowania. Od złamania kodu, przez jego przepływ przez potok ciągłej integracji / ciągłego wdrażania, po faktyczne dostarczanie wydań, istnieje możliwość utraty integralności i problemów z bezpieczeństwem przez cały cykl życia.
O skanerze Octopus
To wykryto złośliwe oprogramowanie możesz wykrywać pliki za pomocą projektów NetBeans i dodawać własny kod do plików projektu i zebranych plików JAR.
Działający algorytm polega na znalezieniu katalogu NetBeans z projektami użytkowników, iteruj po wszystkich projektach w tym katalogu aby móc umieścić złośliwy skrypt w nbproject / cache.dat i wprowadź zmiany w pliku nbproject / build-impl.xml, aby wywoływać ten skrypt za każdym razem, gdy projekt jest budowany.
Podczas kompilacji kopia szkodliwego oprogramowania jest zawarta w wynikowych plikach JAR, które stają się dodatkowym źródłem dystrybucji. Na przykład szkodliwe pliki zostały umieszczone w repozytoriach wspomnianych 26 otwartych projektów, a także w różnych innych projektach podczas wydawania kompilacji nowych wersji.
9 marca otrzymaliśmy wiadomość od analityka bezpieczeństwa, informującą nas o zestawie repozytoriów hostowanych na GitHubie, które prawdopodobnie nieumyślnie serwowały złośliwe oprogramowanie. Po dogłębnej analizie samego złośliwego oprogramowania odkryliśmy coś, czego wcześniej nie widzieliśmy na naszej platformie: złośliwe oprogramowanie zaprojektowane do wyliczania projektów NetBeans i umieszczania backdoora, który wykorzystuje proces kompilacji i wynikające z niego artefakty do rozprzestrzeniania.
Podczas przesyłania i uruchamiania projektu ze złośliwym plikiem JAR przez innego użytkownika, następny cykl wyszukiwania NetBeans i wprowadzenie złośliwego kodu uruchamia się w systemie, co odpowiada działającemu modelowi samoczynnie rozmnażających się wirusów komputerowych.
Oprócz funkcji samodzielnej dystrybucji szkodliwy kod zawiera również funkcje backdoora zapewniające zdalny dostęp do systemu. W czasie analizy incydentu serwery zarządzania backdoorami (C&C) nie były aktywne.
Ogółem podczas badania projektów, na które ma to wpływ, Ujawniono 4 warianty infekcji. W jednej z opcji do aktywacji tylne drzwi w Linuksie, plik autorun «$ HOME / .config / autostart / octo.desktop » aw oknach zadania były uruchamiane za pomocą schtasks na początek.
Backdoor może służyć do dodawania zakładek do kodu opracowanego przez programistów, organizowania wycieku kodu z zastrzeżonych systemów, kradzieży poufnych danych i przechwytywania kont.
Poniżej znajduje się ogólny przegląd działania skanera Octopus:
- Zidentyfikuj katalog NetBeans użytkownika
- Wyświetl wszystkie projekty w katalogu NetBeans
- Załaduj kod w cache.datanbproject / cache.dat
- Zmodyfikuj plik nbproject / build-impl.xml, aby upewnić się, że ładunek jest wykonywany za każdym razem, gdy budowany jest projekt NetBeans
- Jeśli złośliwym ładunkiem jest instancja skanera Octopus, zainfekowany jest również nowo utworzony plik JAR.
Badacze GitHub nie wykluczają złośliwa aktywność nie ogranicza się do NetBeans i mogą istnieć inne warianty Octopus Scanner które można zintegrować z procesem kompilacji w oparciu o systemy Make, MsBuild, Gradle i inne.
Nazwy projektów, których dotyczy problem, nie są wymienione, ale można je łatwo znaleźć, wyszukując w serwisie GitHub maskę „CACHE.DAT”.
Wśród projektów, w których znaleziono ślady złośliwej aktywności: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulations, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario-FR-.
źródło: https://securitylab.github.com/
Zaraz, gdy Microsoft kupił github:
https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1
Nadmierny zbieg okoliczności, ahem.