มีการแจ้งเตือนว่า ตรวจพบโครงการติดเชื้อต่างๆใน GitHub มัลแวร์ ที่นำไปยัง IDE "NetBeans" ยอดนิยม และใช้ในกระบวนการคอมไพล์ เพื่อเผยแพร่มัลแวร์
จากการสอบสวนพบว่า ด้วยความช่วยเหลือของมัลแวร์ที่เป็นปัญหา ซึ่งเรียกว่า Octopus Scannerด้านหลังถูกซ่อนไว้อย่างลับๆในโครงการที่เปิดอยู่ 26 โครงการ ด้วยที่เก็บบน GitHub ร่องรอยแรกของการสำแดงเครื่องสแกนปลาหมึกคือวันที่สิงหาคม 2018
การรักษาความปลอดภัยห่วงโซ่อุปทานโอเพ่นซอร์สเป็นงานใหญ่ มันไปไกลกว่าการประเมินความปลอดภัยหรือเพียงแค่การแก้ไข CVE ล่าสุด ความปลอดภัยของห่วงโซ่อุปทานเป็นเรื่องของความสมบูรณ์ของระบบนิเวศการพัฒนาซอฟต์แวร์และการส่งมอบ ตั้งแต่การประนีประนอมรหัสวิธีการไหลผ่านท่อ CI / CD ไปจนถึงการส่งมอบการเผยแพร่จริงมีโอกาสที่จะสูญเสียความสมบูรณ์และปัญหาด้านความปลอดภัยตลอดวงจรชีวิตทั้งหมด
เกี่ยวกับ Octopus Scanner
พบมัลแวร์นี้ คุณสามารถตรวจจับไฟล์ด้วยโปรเจ็กต์ NetBeans และเพิ่มรหัสของคุณเอง เพื่อฉายไฟล์และไฟล์ JAR ที่รวบรวม
อัลกอริทึมการทำงานคือการค้นหาไดเรกทอรี NetBeans กับโปรเจ็กต์ของผู้ใช้ทำซ้ำทุกโปรเจ็กต์ในไดเร็กทอรีนี้ เพื่อให้สามารถวางสคริปต์ที่เป็นอันตรายใน nbproject / cache.dat และทำการเปลี่ยนแปลงไฟล์ nbproject / build-im.xml เพื่อเรียกสคริปต์นี้ทุกครั้งที่สร้างโปรเจ็กต์
ในระหว่างการรวบรวม สำเนาของมัลแวร์รวมอยู่ในไฟล์ JAR ที่เป็นผลลัพธ์ ซึ่งกลายเป็นแหล่งจำหน่ายเพิ่มเติม ตัวอย่างเช่นไฟล์ที่เป็นอันตรายถูกวางไว้ในที่เก็บของ 26 โปรเจ็กต์ที่เปิดอยู่ข้างต้น รวมถึงในโปรเจ็กต์อื่น ๆ เมื่อปล่อยเวอร์ชันใหม่
เมื่อวันที่ 9 มีนาคมเราได้รับข้อความจากนักวิจัยด้านความปลอดภัยแจ้งให้เราทราบเกี่ยวกับชุดของที่เก็บที่โฮสต์บน GitHub ซึ่งสันนิษฐานว่าให้บริการมัลแวร์โดยไม่ได้ตั้งใจ หลังจากการวิเคราะห์มัลแวร์อย่างละเอียดเราได้ค้นพบบางสิ่งที่เราไม่เคยเห็นมาก่อนบนแพลตฟอร์มของเรา: มัลแวร์ที่ออกแบบมาเพื่อแจกแจงโครงการ NetBeans และวางไว้ในแบ็คดอร์ที่ใช้กระบวนการสร้างและสิ่งประดิษฐ์ที่เป็นผลลัพธ์เพื่อแพร่กระจาย
เมื่ออัปโหลดและเริ่มโปรเจ็กต์ด้วยไฟล์ JAR ที่เป็นอันตรายโดยผู้ใช้รายอื่น รอบการค้นหาถัดไป ของ NetBeans และการแนะนำโค้ดที่เป็นอันตราย เริ่มต้นในระบบของคุณซึ่งสอดคล้องกับรูปแบบการทำงานของไวรัสคอมพิวเตอร์ที่แพร่กระจายตัวเอง
นอกเหนือจากฟังก์ชันสำหรับการแจกจ่ายด้วยตนเองแล้วโค้ดที่เป็นอันตรายยังมีฟังก์ชันแบ็คดอร์เพื่อให้สามารถเข้าถึงระบบได้จากระยะไกล ในขณะที่มีการวิเคราะห์เหตุการณ์เซิร์ฟเวอร์การจัดการแบ็คดอร์ (C&C) ไม่ทำงาน
โดยรวมเมื่อศึกษาโครงการที่ได้รับผลกระทบ พบเชื้อ 4 สายพันธุ์ ในหนึ่งในตัวเลือกเพื่อเปิดใช้งาน ประตูหลังใน Linux, ไฟล์ทำงานอัตโนมัติ« $ หน้าแรก / .config / autostart / octo.desktop » และบน windows งานจะเริ่มต้นผ่านทาง schtasks เพื่อเริ่มต้น
สามารถใช้แบ็คดอร์เพื่อเพิ่มบุ๊กมาร์กให้กับโค้ดที่พัฒนาโดยนักพัฒนาจัดการการรั่วไหลของโค้ดจากระบบที่เป็นกรรมสิทธิ์ขโมยข้อมูลที่ละเอียดอ่อนและจับบัญชี
ด้านล่างนี้เป็นภาพรวมระดับสูงของการทำงานของเครื่องสแกน Octopus:
- ระบุไดเร็กทอรี NetBeans ของผู้ใช้
- แสดงรายการโครงการทั้งหมดในไดเรกทอรี NetBeans
- โหลดโค้ดใน cache.datanbproject / cache.dat
- แก้ไข nbproject / build-im.xml เพื่อให้แน่ใจว่าเพย์โหลดถูกดำเนินการทุกครั้งที่สร้างโปรเจ็กต์ NetBeans
- หากเพย์โหลดที่เป็นอันตรายเป็นอินสแตนซ์ของสแกนเนอร์ Octopus ไฟล์ JAR ที่สร้างขึ้นใหม่ก็ติดไวรัสเช่นกัน
นักวิจัย GitHub ไม่ได้ยกเว้น กิจกรรมที่เป็นอันตรายไม่ได้ จำกัด เฉพาะ NetBeans และอาจมี Octopus Scanner รูปแบบอื่น ๆ ที่สามารถรวมเข้ากับกระบวนการสร้างตามระบบ Make, MsBuild, Gradle และระบบอื่น ๆ
ไม่ได้กล่าวถึงชื่อของโครงการที่ได้รับผลกระทบ แต่สามารถค้นหาได้อย่างง่ายดายผ่านการค้นหา GitHub สำหรับมาสก์ "CACHE.DAT"
ในบรรดาโครงการที่พบร่องรอยของกิจกรรมที่เป็นอันตราย: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulations, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario-FR-
Fuente: https://securitylab.github.com/
เมื่อ Microsoft ซื้อ github:
https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1
บังเอิญมากเกินไปอะแฮ่ม