To oznámenie Na GitHub boli zistené rôzne infekčné projekty malvér ktoré sú zamerané na populárne IDE „NetBeans“ a ktorý sa používa v procese kompilácie na distribúciu škodlivého softvéru.
Vyšetrovanie to ukázalo pomocou príslušného malvéru, ktorý sa volal Octopus Scanner, zadné vrátka boli skryto skryté v 26 otvorených projektoch s úložiskami na GitHub. Prvé stopy po manifestácii Octopus Scanner sú z augusta 2018.
Zabezpečenie dodávateľského reťazca otvorených zdrojov je obrovská úloha. Ide nad rámec bezpečnostného posúdenia alebo iba opravy najnovších CVE. Zabezpečenie dodávateľského reťazca spočíva v integrite celého ekosystému vývoja a dodávania softvéru. Od kompromisu kódu až po to, ako prechádzajú potrubím CI / CD, až po skutočné dodanie vydaní, existuje potenciál pre stratu problémov s integritou a bezpečnosťou počas celého životného cyklu.
O skeneri Octopus
Tento malware bol objavený môžete detekovať súbory s projektmi NetBeans a pridať svoj vlastný kód premietať súbory a zhromaždené súbory JAR.
Pracovným algoritmom je nájsť adresár NetBeans s používateľskými projektmi opakujte všetky projekty v tomto adresári byť schopný umiestniť škodlivý skript do nbproject / cache.dat a vykonajte zmeny v súbore nbproject / build-impl.xml tak, aby sa tento skript volal vždy, keď je projekt zostavený.
Počas kompilácie kópia škodlivého softvéru je zahrnutá vo výsledných súboroch JAR, ktoré sa stávajú ďalším zdrojom distribúcie. Napríklad škodlivé súbory boli umiestnené do úložísk vyššie uvedených 26 otvorených projektov, ako aj v rôznych iných projektoch pri vydávaní zostáv nových verzií.
9. marca sme dostali správu od bezpečnostného výskumníka, ktorá nás informovala o súbore úložísk hostených na GitHub, ktoré pravdepodobne neúmyselne slúžili malvéru. Po hĺbkovej analýze samotného škodlivého softvéru sme objavili niečo, čo sme na našej platforme ešte nevideli: malware navrhnutý tak, aby spočítal počet projektov NetBeans a umiestnil ich do zadných vrátok, ktoré využívajú proces rozširovania a jeho výsledné artefakty na šírenie.
Pri nahrávaní a spustení projektu so škodlivým súborom JAR iným používateľom, ďalší vyhľadávací cyklus NetBeans a zavedenie škodlivého kódu začína vo vašom systéme, čo zodpovedá pracovnému modelu samorozmnožujúcich sa počítačových vírusov.
Okrem funkcií na vlastnú distribúciu obsahuje škodlivý kód aj funkcie backdoor, ktoré umožňujú vzdialený prístup do systému. V čase, keď bol incident analyzovaný, servery backdoor management (C&C) neboli aktívne.
Celkovo pri štúdiu dotknutých projektov Boli odhalené 4 varianty infekcie. V jednej z možností aktivácie zadné vrátka v systéme Linux, súbor automatického spustenia «$ HOME / .config / autostart / octo.desktop » a vo Windows sa úlohy spúšťali pomocou schtasks.
Backdoor je možné použiť na pridávanie záložiek do kódu vyvinutého vývojárom, organizovanie úniku kódu z proprietárnych systémov, kradnutie citlivých údajov a zaznamenávanie účtov.
Ďalej uvádzame prehľad činnosti skenera Octopus na vysokej úrovni:
- Identifikujte adresár NetBeans používateľa
- Zoznam všetkých projektov v adresári NetBeans
- Vložte kód do cache.datanbproject / cache.dat
- Upravte súbor nbproject / build-impl.xml, aby ste sa ubezpečili, že užitočné zaťaženie sa vykonáva pri každom zostavení projektu NetBeans.
- Ak je užitočné zaťaženie inštanciou skenera Octopus, infikuje sa aj novovytvorený súbor JAR.
Vedci z GitHubu to nevylučujú škodlivá aktivita sa neobmedzuje iba na NetBeans a môžu existovať aj iné varianty Octopus Scanner ktoré je možné integrovať do procesu zostavovania na základe systémov Make, MsBuild, Gradle a ďalších.
Názvy dotknutých projektov nie sú uvedené, ale je možné ich ľahko vyhľadať pomocou vyhľadávača GitHub na maske „CACHE.DAT“.
Medzi projekty, ktoré našli stopy škodlivej činnosti: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulation, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario- FR-.
Fuente: https://securitylab.github.com/
Keď spoločnosť Microsoft kúpila github:
https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1
Prílišná náhoda, ehm.