Octopus Scanner: ett skadligt program som påverkar NetBeans och gör det möjligt att placera bakdörrar

Meddelandet att Olika infektionsprojekt har upptäckts på GitHub skadlig kod som riktas till den populära IDE "NetBeans" och som används i sammanställningsprocessen för att distribuera skadlig kod.

Undersökningen visade det med hjälp av skadlig programvara i fråga, som kallades Octopus Scanner, bakdörrar gömdes hemligt i 26 öppna projekt med förvar på GitHub. De första spåren av Octopus Scanner-manifestationen är daterade augusti 2018.

Att säkra öppen källkod är en enorm uppgift. Det går långt utöver en säkerhetsbedömning eller bara lappa de senaste CVE: erna. Supply chain-säkerhet handlar om integriteten i hela ekosystemet för programvaruutveckling och leverans. Från kodkompromiss, till hur de flödar genom CI / CD-pipelinen, till den faktiska leveransen av utgåvor, det finns potential för förlust av integritet och säkerhetsproblem under hela livscykeln.

Om Octopus Scanner

Den här skadliga programvaran upptäcktes du kan upptäcka filer med NetBeans-projekt och lägga till din egen kod till projektfiler och samlade JAR-filer.

Arbetsalgoritmen är att hitta NetBeans-katalogen med användarprojekt, iterera över alla projekt i den här katalogen för att kunna placera det skadliga skriptet i nbproject / cache.dat och gör ändringar i filen nbproject / build-impl.xml för att anropa detta skript varje gång projektet byggs.

Under sammanställningen, en kopia av skadlig kod ingår i de resulterande JAR-filerna, som blir en ytterligare distributionskälla. Till exempel placerades skadliga filer i förvaren för de ovannämnda 26 öppna projekten, såväl som i olika andra projekt när man släpper nya versioner.

Den 9 mars fick vi ett meddelande från en säkerhetsforskare som informerade oss om en uppsättning förvar som var värd på GitHub som antagligen serverade skadlig kod oavsiktligt. Efter en djup analys av själva skadeprogrammet upptäckte vi något som vi inte hade sett tidigare på vår plattform: skadlig programvara utformad för att räkna upp NetBeans-projekt och lägga in en bakdörr som använder byggprocessen och dess resulterande artefakter för att spridas.

När du laddar upp och startar ett projekt med en skadlig JAR-fil av en annan användare, nästa sökcykel av NetBeans och införande av skadlig kod startar i ditt system, vilket motsvarar arbetsmodellen för självförökande datavirus.

Förutom funktionerna för självdistribution inkluderar den skadliga koden även bakdörrfunktioner för att ge fjärråtkomst till systemet. När incidenten analyserades var bakdörrhanteringsservrarna (C&C) inte aktiva.

Totalt, när man studerar de berörda projekten, 4 infektionsvarianter avslöjades. I ett av alternativen för att aktivera bakdörren i Linux, autokörningsfilen «$ HEM / .config / autostart / octo.desktop » och på windows startades uppgifterna via schtasks för att starta.

Bakdörren kan användas för att lägga till bokmärken till utvecklarutvecklad kod, organisera kodläckage från egna system, stjäla känsliga data och fånga konton.

Nedan följer en översikt på hög nivå av Octopus-skannerfunktionen:

1. Identifiera användarens NetBeans-katalog
2. Lista alla projekt i NetBeans-katalogen
3. Ladda koden i cache.datanbproject / cache.dat
4. Ändra nbproject / build-impl.xml för att se till att nyttolasten körs varje gång NetBeans-projektet byggs
5. Om den skadliga nyttolasten är en förekomst av Octopus-skannern infekteras också den nyskapade JAR-filen.

GitHub-forskare utesluter inte att skadlig aktivitet inte är begränsad till NetBeans och det kan finnas andra varianter av Octopus Scanner som kan integreras i byggprocessen baserat på Make, MsBuild, Gradle och andra system.

Namnen på de berörda projekten nämns inte, men kan enkelt hittas genom en GitHub-sökning efter masken "CACHE.DAT".

Bland de projekt som hittade spår av skadlig aktivitet: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulations, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario-FR-.

Fuente: https://securitylab.github.com/