Octopus Scanner: një malware që prek NetBeans dhe lejon vendosjen e dyerve të prapme

Darkcrizt

Minuta 4

Njoftimi që Projekte të ndryshme infeksioni janë zbuluar në GitHub malware që drejtohen në IDE të njohur "NetBeans" dhe që është duke përdorur në procesin e përpilimit për të shpërndarë malware.

Hetimi tregoi se me ndihmën e malware-it në fjalë, i cili u quajt skaner oktapodi, backdoors ishin fshehur fshehurazi në 26 projekte të hapura me depo në GitHub. Gjurmët e para të manifestimit Octopus Scanner datojnë në Gusht 2018.

Sigurimi i zinxhirit të furnizimit me burim të hapur është një detyrë e madhe. Shkon përtej vlerësimit të sigurisë ose thjesht rregullimit të CVE-ve më të fundit. Siguria e zinxhirit të furnizimit ka të bëjë me integritetin e të gjithë ekosistemit të zhvillimit dhe shpërndarjes së softuerit. Nga kompromisi i kodit, te mënyra sesi ato rrjedhin përmes tubacionit CI / CD, te shpërndarja aktuale e lëshimeve, ekziston mundësia për humbjen e integritetit dhe çështjeve të sigurisë, gjatë gjithë ciklit të jetës.

Rreth Skanuesit të oktapodit

Ky malware u zbulua ju mund të zbuloni skedarë me projekte të NetBeans dhe të shtoni kodin tuaj për të projektuar skedarët dhe skedarët e mbledhur JAR.

Algoritmi i punës është gjetja e direktorisë NetBeans me projektet e përdoruesve, përsëritni mbi të gjitha projektet në këtë direktori të jetë në gjendje të vendosë skriptin me qëllim të keq në nbproject / cache.dat dhe bëni ndryshime në skedarin nbproject / build-impl.xml për ta thirrur këtë skenar sa herë që ndërtohet projekti.

Gjatë përpilimit, një kopje e malware është përfshirë në skedarët JAR që rezultojnë, të cilat bëhen një burim shtesë i shpërndarjes. Për shembull, skedarët me qëllim të keq u vendosën në depot e 26 projekteve të sipërpërmendura të hapura, si dhe në projekte të ndryshme të tjera kur lëshoni ndërtime të versioneve të reja.

Më 9 mars, kemi marrë një mesazh nga një studiues i sigurisë që na informon për një sërë depove të organizuara në GitHub që me sa duket po shërbenin malware pa dashje. Pas një analize të thellë të vetë malware, ne zbuluam diçka që nuk e kishim parë më parë në platformën tonë: malware i krijuar për të numëruar projektet NetBeans dhe vendosur në një derë të pasme që përdor procesin e ndërtimit dhe artefaktet e tij që rezultojnë për t'u përhapur.

Kur ngarkoni dhe filloni një projekt me një skedar me qëllim të keq JAR nga një përdorues tjetër, cikli tjetër i kërkimit të NetBeans dhe prezantimi i kodit me qëllim të keq fillon në sistemin tuaj, i cili korrespondon me modelin e punës së viruseve kompjuterikë vet-përhapës.

Figura 1: Skanimi i dekompiluar i oktapodit

Përveç funksionalitetit për vetë-shpërndarje, kodi me qëllim të keq gjithashtu përfshin funksione backdoor për të siguruar qasje të largët në sistem. Në kohën kur u analizua incidenti, serverat e menaxhimit të backdoor (C&C) nuk ishin aktivë.

Në total, kur studioni projektet e prekura, U zbuluan 4 variante të infeksionit. Në një nga opsionet për t'u aktivizuar dera e pasme në Linux, skedari autorun «$ HOME / .config / autostart / octo.desktop » dhe në dritare detyrat filluan me anë të detyrave për të filluar.

Backdoor mund të përdoret për të shtuar faqeshënues në kodin e zhvilluar nga zhvilluesi, për të organizuar rrjedhjet e kodit nga sistemet e pronarit, për të vjedhur të dhëna të ndjeshme dhe për të kapur llogari.

Më poshtë është një përmbledhje e nivelit të lartë të funksionimit të skanuesit Octopus:

  1. Identifikoni direktorinë e përdoruesit NetBeans
  2. Renditni të gjitha projektet në direktorinë NetBeans
  3. Vendosni kodin në cache.datanbproject / cache.dat
  4. Modifikoni nbproject / build-impl.xml për të siguruar që ngarkesa të ekzekutohet sa herë që ndërtohet projekti NetBeans
  5. Nëse ngarkesa me qëllim të keq është një shembull i skanuesit Octopus, skedari JAR i sapo krijuar është gjithashtu i infektuar.

Studiuesit e GitHub nuk përjashtojnë aktiviteti keqdashës nuk është i kufizuar në NetBeans dhe mund të ketë variante të tjera të Octopus Scanner që mund të integrohen në procesin e ndërtimit bazuar në Make, MsBuild, Gradle dhe sisteme të tjera.

Emrat e projekteve të prekura nuk përmenden, por mund të gjenden lehtësisht përmes një kërkimi të GitHub për maskën "CACHE.DAT".

Ndër projektet që gjetën gjurmë të aktivitetit dashakeqës: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulation, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario- FR-.

Fuente: https://securitylab.github.com/


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: AB Internet Networks 2008 SL
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.

  1.   Mokovirud dijo
    më parë Vjet 4

    E drejta kur Microsoft bleu github:

    https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1

    Rastësi e tepërt, ahem.

    Përgjigju Mocovirud