Octopus Scanner: zlonamerna programska oprema, ki vpliva na NetBeans in omogoča namestitev v zaledje

Darkcrizt

4 minut

Obvestilo, da Na GitHubu so odkrili različne okužbe zlonamerne programske opreme ki so usmerjeni v priljubljeni IDE "NetBeans" in ki se uporablja v procesu zbiranja za distribucijo zlonamerne programske opreme.

Preiskava je to pokazala s pomočjo zlonamerne programske opreme, ki se je imenoval Octopus Scanner, zakulisja so bila prikrito skrita v 26 odprtih projektih s skladišči na GitHub. Prvi sledovi manifestacije Octopus Scanner so datirani v avgust 2018.

Zavarovanje odprtokodne dobavne verige je velika naloga. To presega varnostno oceno ali samo popravljanje najnovejših CVE. Varnost dobavne verige je namenjena celovitosti celotnega ekosistema za razvoj in dostavo programske opreme. Od kompromisov kode do tega, kako tečejo po cevovodu CI / CD, do dejanske dostave izdaj obstaja možnost izgube integritete in varnostnih težav v celotnem življenjskem ciklu.

O Octopus Scannerju

Ta zlonamerna programska oprema je bila odkrita lahko zaznate datoteke s projekti NetBeans in dodate svojo kodo za projektiranje datotek in zbranih datotek JAR.

Delovni algoritem je najti imenik NetBeans pri uporabniških projektih ponovite vse projekte v tem imeniku če želite zlonamerni skript umestiti v nbproject / cache.dat in spremenite datoteko nbproject / build-impl.xml, da pokličete ta skript vsakič, ko je projekt zgrajen.

Med prevajanjem kopija zlonamerne programske opreme je vključena v nastale datoteke JAR, ki postanejo dodaten vir distribucije. Na primer, zlonamerne datoteke so bile postavljene v repozitoriji zgoraj omenjenih 26 odprtih projektov, kot tudi v različnih drugih projektih ob izdaji zgradb novih različic.

9. marca smo od raziskovalca varnosti prejeli sporočilo, ki nas je obvestilo o nizu skladišč, ki jih gosti GitHub in so domnevno nenamerno stregli zlonamerno programsko opremo. Po globoki analizi same zlonamerne programske opreme smo odkrili nekaj, česar še nismo videli na naši platformi: zlonamerno programsko opremo, ki je zasnovana za naštevanje projektov NetBeans in je postavljena v zakulisje, ki uporablja postopek izdelave in iz nje nastale artefakte za širjenje.

Ko drug uporabnik naloži in zažene projekt z zlonamerno datoteko JAR, naslednji iskalni cikel NetBeans in uvedba zlonamerne kode zažene v vašem sistemu, kar ustreza delujočemu modelu samorazmnoževalnih računalniških virusov.

Slika 1: Razstavljeni skener hobotnice

Zlonamerna koda poleg funkcionalnosti za samorazdeljevanje vključuje tudi funkcije zakulisja, ki omogočajo oddaljen dostop do sistema. V času analize incidenta strežniki za upravljanje v ozadju (C&C) niso bili aktivni.

Skupno je pri preučevanju prizadetih projektov Razkrite so bile 4 različice okužbe. V eni od možnosti za aktiviranje zadnja vrata v Linuxu, datoteka samodejnega zagona «$ DOMOV / .config / autostart / octo.desktop » in v operacijskem sistemu Windows so se naloge začele prek schtasks za zagon.

Zakulisje se lahko uporablja za dodajanje zaznamkov kodi, ki jo je razvil razvijalec, organiziranje uhajanja kode iz lastniških sistemov, krajo občutljivih podatkov in zajemanje računov.

Spodaj je pregled delovanja optičnega bralnika Octopus na visoki ravni:

  1. Določite uporabnikov imenik NetBeans
  2. Naštejte vse projekte v imeniku NetBeans
  3. Kodo naložite v cache.datanbproject / cache.dat
  4. Spremenite nbproject / build-impl.xml, da zagotovite izvedbo koristnega tovora vsakič, ko je zgrajen projekt NetBeans
  5. Če je zlonamerni tovor primerek optičnega bralnika Octopus, je okužena tudi novo ustvarjena datoteka JAR.

Raziskovalci GitHub ne izključujejo da zlonamerna dejavnost ni omejena na NetBeans in morda obstajajo druge različice Octopus Scanner ki jih je mogoče integrirati v postopek izdelave, ki temelji na sistemih Make, MsBuild, Gradle in drugih.

Imena prizadetih projektov niso omenjena, vendar jih je mogoče zlahka najti s pomočjo GitHub-ovega iskanja maske "CACHE.DAT".

Med projekti, ki so našli sledi zlonamerne dejavnosti: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulations, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario-FR-.

vir: https://securitylab.github.com/


Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Odgovoren za podatke: AB Internet Networks 2008 SL
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.

  1.   Mokovirud je dejal
    nazaj 4 let

    Takoj, ko je Microsoft kupil github:

    https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1

    Pretirano naključje, ah.

    Odgovorite na Mocovirud