Уведомление о том, что На GitHub обнаружены различные зараженные проекты де вредоносное ПО которые предназначены для популярной среды IDE NetBeans. и который используется в процессе компиляции распространять вредоносное ПО.
Расследование показало, что с помощью рассматриваемого вредоносного ПО, который назывался Octopus Scanner, бэкдоры были тайно спрятаны в 26 открытых проектах с репозиториями на GitHub. Первые следы проявления Octopus Scanner датированы августом 2018 года.
Обеспечение безопасности цепочки поставок с открытым исходным кодом - огромная задача. Это выходит далеко за рамки оценки безопасности или просто исправления последних CVE. Безопасность цепочки поставок - это целостность всей экосистемы разработки и доставки программного обеспечения. От компрометации кода до того, как они проходят через конвейер CI / CD, и до фактической доставки выпусков, существует вероятность потери целостности и проблем безопасности на протяжении всего жизненного цикла.
О сканере Octopus
Это вредоносное ПО обнаружено вы можете обнаруживать файлы с проектами NetBeans и добавлять свой собственный код для проецирования файлов и собранных файлов JAR.
Рабочий алгоритм - найти каталог NetBeans. с пользовательскими проектами перебирать все проекты в этом каталоге чтобы иметь возможность разместить вредоносный скрипт в nbproject / cache.dat и внесите изменения в файл nbproject / build-impl.xml для вызова этого сценария при каждой сборке проекта.
Во время компиляции копия вредоносного ПО включается в результирующие файлы JAR, которые становятся дополнительным источником распространения. Например, вредоносные файлы были размещены в репозиториях вышеупомянутых 26 открытых проектов, а также в различных других проектах при выпуске сборок новых версий.
9 марта мы получили сообщение от исследователя безопасности, информирующее нас о наборе репозиториев, размещенных на GitHub, которые предположительно непреднамеренно обслуживали вредоносное ПО. После глубокого анализа самого вредоносного ПО мы обнаружили то, чего раньше не видели на нашей платформе: вредоносное ПО, предназначенное для перечисления проектов NetBeans и установки бэкдора, который использует процесс сборки и связанные с ним артефакты для распространения.
При загрузке и запуске проекта с вредоносным файлом JAR другим пользователем, следующий цикл поиска NetBeans и внедрение вредоносного кода начинается в вашей системе, что соответствует рабочей модели самораспространяющихся компьютерных вирусов.
Помимо функции самораспространения, вредоносный код также включает в себя функции бэкдора для обеспечения удаленного доступа к системе. На момент анализа инцидента серверы управления бэкдором (C&C) не были активны.
Всего при изучении затронутых проектов, Выявлено 4 варианта заражения. В одном из вариантов активации черный ход в Linux, файл автозапуска «$ ГЛАВНАЯ / .config / autostart / octo.desktop » а в окнах задачи запускались через schtasks для запуска.
Бэкдор можно использовать для добавления закладок в код, разработанный разработчиком, организации утечки кода из проприетарных систем, кражи конфиденциальных данных и захвата учетных записей.
Ниже приведен общий обзор работы сканера Octopus:
- Определите каталог NetBeans пользователя
- Список всех проектов в каталоге NetBeans
- Загрузите код в cache.datanbproject / cache.dat
- Измените nbproject / build-impl.xml, чтобы обеспечить выполнение полезной нагрузки при каждой сборке проекта NetBeans.
- Если вредоносная полезная нагрузка является экземпляром сканера Octopus, вновь созданный файл JAR также заражен.
Исследователи GitHub не исключают вредоносная деятельность не ограничивается NetBeans, могут быть другие варианты Octopus Scanner которые можно интегрировать в процесс сборки на основе Make, MsBuild, Gradle и других систем.
Имена затронутых проектов не упоминаются, но их можно легко найти с помощью поиска GitHub по маске «CACHE.DAT».
Среди проектов, обнаруживших следы вредоносной активности: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-моделирование, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario- FR-.
источник: https://securitylab.github.com/
Когда Microsoft купила github:
https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1
Чрезмерное совпадение, кхм.