Octopus Scanner: um malware que afeta o NetBeans e permite que backdoors sejam colocados

Darkcrizt

Minutos 4

A notificação de que Vários projetos de infecção foram detectados no GitHub malware que são direcionados ao popular IDE "NetBeans" e que está usando no processo de compilação para distribuir o malware.

A investigação mostrou que com a ajuda do malware em questão, que se chamava Octopus Scanner, backdoors foram secretamente escondidos em 26 projetos abertos com repositórios no GitHub. Os primeiros vestígios da manifestação do Octopus Scanner datam de agosto de 2018.

Proteger a cadeia de suprimentos de código aberto é uma tarefa enorme. Vai muito além de uma avaliação de segurança ou apenas corrigir os CVEs mais recentes. A segurança da cadeia de suprimentos diz respeito à integridade de todo o ecossistema de desenvolvimento e entrega de software. Desde o comprometimento do código, até como eles fluem através do pipeline de CI / CD, até a entrega real de releases, existe o potencial de perda de integridade e problemas de segurança em todo o ciclo de vida.

Sobre o Octopus Scanner

Este malware foi descoberto você pode detectar arquivos com projetos NetBeans e adicionar seu próprio código para projetar arquivos e arquivos JAR coletados.

O algoritmo de trabalho é encontrar o diretório NetBeans com projetos de usuário, itera sobre todos os projetos neste diretório ser capaz de colocar o script malicioso em nbproject / cache.dat e faça alterações no arquivo nbproject / build-impl.xml para chamar esse script sempre que o projeto for construído.

Durante a compilação, uma cópia do malware é incluída nos arquivos JAR resultantes, que se tornam uma fonte adicional de distribuição. Por exemplo, arquivos maliciosos foram colocados nos repositórios dos mencionados 26 projetos abertos, bem como em vários outros projetos ao lançar compilações de novas versões.

Em 9 de março, recebemos uma mensagem de um pesquisador de segurança informando-nos sobre um conjunto de repositórios hospedados no GitHub que presumivelmente estavam servindo malware de forma não intencional. Após uma análise profunda do próprio malware, descobrimos algo que não tínhamos visto antes em nossa plataforma: malware projetado para enumerar projetos NetBeans e colocar em um backdoor que usa o processo de construção e seus artefatos resultantes para se espalhar.

Ao enviar e iniciar um projeto com um arquivo JAR malicioso por outro usuário, o próximo ciclo de pesquisa do NetBeans e introdução de código malicioso começa em seu sistema, que corresponde ao modelo de trabalho de vírus de computador com autopropagação.

Figura 1: scanner de polvo descompilado

Além da funcionalidade de autodistribuição, o código malicioso também inclui funções backdoor para fornecer acesso remoto ao sistema. No momento em que o incidente foi analisado, os servidores backdoor management (C&C) não estavam ativos.

No total, ao estudar os projetos afetados, 4 variantes de infecção foram reveladas. Em uma das opções para ativar a porta dos fundos no Linux, o arquivo de execução automática «$ HOME / .config / autostart / octo.desktop » e no Windows, as tarefas foram iniciadas por meio de schtasks para iniciar.

O backdoor pode ser usado para adicionar marcadores ao código desenvolvido pelo desenvolvedor, organizar o vazamento de código de sistemas proprietários, roubar dados confidenciais e capturar contas.

Abaixo está uma visão geral de alto nível da operação do scanner Octopus:

  1. Identifique o diretório NetBeans do usuário
  2. Liste todos os projetos no diretório NetBeans
  3. Carregue o código em cache.datanbproject / cache.dat
  4. Modifique nbproject / build-impl.xml para garantir que a carga útil seja executada sempre que o projeto NetBeans for construído
  5. Se a carga for uma instância do scanner Octopus, o arquivo JAR recém-criado também está infectado.

Os pesquisadores do GitHub não excluem que a atividade maliciosa não se limita ao NetBeans e pode haver outras variantes do Octopus Scanner que pode ser integrado ao processo de construção baseado em Make, MsBuild, Gradle e outros sistemas.

Os nomes dos projetos afetados não são mencionados, mas podem ser facilmente encontrados por meio de uma pesquisa no GitHub pela máscara "CACHE.DAT".

Entre os projetos que encontraram vestígios de atividade maliciosa: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulations, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario-FR-.

fonte: https://securitylab.github.com/


Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: AB Internet Networks 2008 SL
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.

  1.   mucovírus dito
    atrás Anos 4

    Logo quando a Microsoft comprou o github:

    https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1

    Coincidência excessiva, ahem.

    Responder ao Mocovirud