Octopus Scanner: isang malware na nakakaapekto sa NetBeans at pinapayagan na mailagay ang mga backdoors

Darkcrizt

4 Minutos

Ang abiso na Iba't ibang mga proyekto sa impeksyon ang napansin sa GitHub malware na nakadirekta sa tanyag na IDE na "NetBeans" at alin ang ginagamit sa proseso ng pagtitipon upang ipamahagi ang malware.

Ipinakita iyon ng imbestigasyon sa tulong ng malware na pinag-uusapan, na tinawag na Octopus Scanner, ang mga backdoors ay lihim na itinago sa 26 bukas na mga proyekto na may mga repository sa GitHub. Ang mga unang bakas ng pagpapakita ng Octopus Scanner ay may petsang Agosto 2018.

Ang pag-secure ng open source supply chain ay isang malaking gawain. Napupunta ito nang lampas sa isang pagtatasa sa seguridad o pag-patch lamang ng pinakabagong mga CVE. Ang seguridad ng supply chain ay tungkol sa integridad ng buong pag-unlad ng software at paghahatid ng ecosystem. Mula sa kompromiso sa code, sa kung paano sila dumadaloy sa pamamagitan ng pipeline ng CI / CD, sa aktwal na paghahatid ng mga paglabas, mayroong potensyal para sa pagkawala ng mga isyu sa integridad at seguridad, sa buong buong lifecycle.

Tungkol sa Octopus Scanner

Natuklasan ang malware na ito maaari mong makita ang mga file na may mga proyekto sa NetBeans at magdagdag ng iyong sariling code upang i-project ang mga file at nakolekta ang mga JAR file.

Ang gumaganang algorithm ay upang hanapin ang direktoryo ng NetBeans sa mga proyekto ng gumagamit, umulit sa lahat ng mga proyekto sa direktoryong ito upang mailagay ang nakakahamak na script sa nbproject / cache.dat at gumawa ng mga pagbabago sa nbproject / build-impl.xml file upang tawagan ang script na ito sa tuwing itinatayo ang proyekto.

Habang pinagsama-sama, ang isang kopya ng malware ay kasama sa mga nagresultang JAR file, na naging isang karagdagang mapagkukunan ng pamamahagi. Halimbawa, ang mga nakakahamak na file ay inilagay sa mga repository ng nabanggit na 26 bukas na mga proyekto, pati na rin sa iba`t ibang mga proyekto kapag naglalabas ng mga build ng mga bagong bersyon.

Noong Marso 9, nakatanggap kami ng isang mensahe mula sa isang security researcher na nagsasabi sa amin tungkol sa isang hanay ng mga repository na naka-host sa GitHub na maaaring hindi sinasadya na naghahatid ng malware. Matapos ang isang malalim na pagsusuri ng mismong malware, natuklasan namin ang isang bagay na hindi pa namin nakita dati sa aming platform: ang malware na idinisenyo upang isaayos ang mga proyekto ng NetBeans at ilagay sa isang backdoor na gumagamit ng proseso ng pagbuo at mga nagresultang artifact upang kumalat.

Kapag nag-a-upload at nagsisimula ng isang proyekto gamit ang isang nakakahamak na JAR file ng ibang gumagamit, ang susunod na siklo ng paghahanap ng NetBeans at pagpapakilala ng nakakahamak na code nagsisimula sa iyong system, na tumutugma sa modelo ng pagtatrabaho ng mga self-propagating na virus ng computer.

Larawan 1: Na-decompil na Scan ng Pugita

Bilang karagdagan sa pag-andar para sa pamamahagi ng sarili, nagsasama rin ang nakakahamak na code na mga pag-andar sa backdoor upang magbigay ng malayuang pag-access sa system. Sa oras na nasuri ang insidente, hindi naging aktibo ang mga backdoor management (C&C) server.

Sa kabuuan, kapag pinag-aaralan ang mga apektadong proyekto, 4 na pagkakaiba-iba ng impeksiyon ang isiniwalat. Sa isa sa mga pagpipilian upang maisaaktibo ang pintuan sa likod sa Linux, ang autorun file «$ HOME / .config / autostart / octo.desktop » at sa Windows, ang mga gawain ay nagsimula sa pamamagitan ng schtasks upang magsimula.

Maaaring magamit ang backdoor upang magdagdag ng mga bookmark sa code na binuo ng developer, ayusin ang pagtulo ng code mula sa pagmamay-ari ng mga system, magnakaw ng sensitibong data, at makakuha ng mga account.

Nasa ibaba ang isang mataas na antas ng pangkalahatang-ideya ng pagpapatakbo ng Octopus scanner:

  1. Kilalanin ang direktoryo ng NetBeans ng gumagamit
  2. Ilista ang lahat ng mga proyekto sa direktoryo ng NetBeans
  3. I-load ang code sa cache.datanbproject / cache.dat
  4. Baguhin ang nbproject / build-impl.xml upang matiyak na ang payload ay naisakatuparan sa tuwing itinatayo ang proyekto ng NetBeans
  5. Kung ang nakakahamak na kargamento ay isang halimbawa ng Octopus scanner, ang bagong nilikha na JAR file ay nahawahan din.

Hindi ibinubukod ng mga mananaliksik ng GitHub na ang nakakahamak na aktibidad ay hindi limitado sa NetBeans at maaaring may iba pang mga pagkakaiba-iba ng Octopus Scanner na maaaring isama sa proseso ng pagbuo batay sa Gumawa, MsBuild, Gradle at iba pang mga system.

Ang mga pangalan ng mga apektadong proyekto ay hindi nabanggit, ngunit maaaring madaling matagpuan sa pamamagitan ng isang paghahanap sa GitHub para sa maskara na "CACHE.DAT".

Kabilang sa mga proyekto na nakakita ng mga bakas ng nakakahamak na aktibidad: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulation, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario- FR-.

Fuente: https://securitylab.github.com/


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: AB Internet Networks 2008 SL
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.

  1.   mucovirus dijo
    nakararaan 4 taon

    Tama nang bumili ang Microsoft ng github:

    https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1

    Labis na pagkakataon, ahem.

    Tumugon kay Mocovirud