Ahtapot Tarayıcı: NetBeans'i etkileyen ve arka kapıların yerleştirilmesine izin veren bir kötü amaçlı yazılım

Darkcrizt

4 minutos

Bildirim GitHub'da çeşitli enfeksiyon projeleri tespit edildi kötü amaçlı yazılım popüler IDE "NetBeans" e yönlendirilenler ve derleme sürecinde hangisi kullanılıyor? kötü amaçlı yazılımı dağıtmak için.

Soruşturma gösterdi ki söz konusu kötü amaçlı yazılımın yardımıyla, Ahtapot Tarayıcı olarak adlandırılan, arka kapılar 26 açık projede gizlice gizlendi GitHub'daki depolarla. Ahtapot Tarayıcı manifestosunun ilk izleri Ağustos 2018 tarihlidir.

Açık kaynak tedarik zincirini güvence altına almak çok büyük bir görevdir. Bir güvenlik değerlendirmesinin veya en son CVE'lerin yamalanmasının çok ötesine geçer. Tedarik zinciri güvenliği, tüm yazılım geliştirme ve teslimat ekosisteminin bütünlüğü ile ilgilidir. Kod uzlaşmasından, CI / CD ardışık düzeninde nasıl aktığına, sürümlerin fiili teslimine kadar, tüm yaşam döngüsü boyunca bütünlük kaybı ve güvenlik sorunları potansiyeli vardır.

Ahtapot Tarayıcı Hakkında

Bu kötü amaçlı yazılım keşfedildi NetBeans projeleriyle dosyaları algılayabilir ve kendi kodunuzu ekleyebilirsiniz dosyaları ve toplanan JAR dosyalarını yansıtmak için.

Çalışma algoritması, NetBeans dizinini bulmaktır kullanıcı projeleri ile bu dizindeki tüm projeleri yineleyin kötü amaçlı komut dosyasını nbproject / cache.dat içine yerleştirebilmek ve proje her oluşturulduğunda bu betiği çağırmak için nbproject / build-impl.xml dosyasında değişiklikler yapın.

Derleme sırasında, ortaya çıkan JAR dosyalarında kötü amaçlı yazılımın bir kopyası bulunur, ek bir dağıtım kaynağı haline gelen. Örneğin, yukarıda belirtilen 26 açık projenin depolarına kötü amaçlı dosyalar yerleştirildi, yeni sürümlerin yapılarını yayınlarken çeşitli diğer projelerde olduğu gibi.

9 Mart'ta bir güvenlik araştırmacısından, GitHub'da barındırılan ve kasıtsız olarak kötü amaçlı yazılım sunduğunu düşünülen bir dizi havuz hakkında bizi bilgilendiren bir mesaj aldık. Kötü amaçlı yazılımın derinlemesine bir analizinden sonra, platformumuzda daha önce görmediğimiz bir şey keşfettik: NetBeans projelerini numaralandırmak ve inşa sürecini ve bunun sonucunda ortaya çıkan eserleri yaymak için kullanan bir arka kapı koymak için tasarlanmış kötü amaçlı yazılım.

Başka bir kullanıcı tarafından kötü amaçlı bir JAR dosyası içeren bir projeyi yüklerken ve başlatırken, sonraki arama döngüsü NetBeans ve kötü amaçlı kodun tanıtımı sisteminizde başlar, kendi kendine yayılan bilgisayar virüslerinin çalışma modeline karşılık gelir.

Şekil 1: Derlenmiş Ahtapot Taraması

Kötü amaçlı kod, kendi kendine dağıtım işlevine ek olarak, sisteme uzaktan erişim sağlamak için arka kapı işlevlerini de içerir. Olay analiz edildiğinde, arka kapı yönetimi (C&C) sunucuları aktif değildi.

Toplamda, etkilenen projeleri incelerken, 4 enfeksiyon varyantı ortaya çıktı. Etkinleştirme seçeneklerinden birinde Linux'ta arka kapı, otomatik çalıştırma dosyası «$ ANA SAYFA / .config / autostart / octo.desktop » ve pencerelerde görevler başlamak için schtasks aracılığıyla başlatıldı.

Arka kapı, geliştirici tarafından geliştirilen koda yer imleri eklemek, tescilli sistemlerden kod sızıntısını düzenlemek, hassas verileri çalmak ve hesapları yakalamak için kullanılabilir.

Aşağıda, Ahtapot tarayıcısının çalışmasıyla ilgili üst düzey bir genel bakış yer almaktadır:

  1. Kullanıcının NetBeans dizinini tanımlayın
  2. NetBeans dizinindeki tüm projeleri listeleyin
  3. Kodu cache.datanbproject / cache.dat içine yükleyin
  4. NetBeans projesi her oluşturulduğunda yükün yürütüldüğünden emin olmak için nbproject / build-impl.xml dosyasını değiştirin
  5. Kötü amaçlı yük, Octopus tarayıcısının bir örneğiyse, yeni oluşturulan JAR dosyası da etkilenir.

GitHub araştırmacıları hariç tutmaz kötü niyetli faaliyetin NetBeans ile sınırlı olmadığını ve Octopus Scanner'ın başka varyantları olabileceğini Make, MsBuild, Gradle ve diğer sistemlere dayalı derleme sürecine entegre edilebilir.

Etkilenen projelerin isimlerinden bahsedilmemiştir, ancak "CACHE.DAT" maskesine yönelik bir GitHub aramasıyla kolayca bulunabilir.

Kötü amaçlı etkinlik izlerini bulan projeler arasında: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulations, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario-FR-.

kaynak: https://securitylab.github.com/


Yorumunuzu bırakın

E-posta hesabınız yayınlanmayacak. Gerekli alanlar ile işaretlenmiştir *

*

*

  1. Verilerden sorumlu: AB Internet Networks 2008 SL
  2. Verilerin amacı: Kontrol SPAM, yorum yönetimi.
  3. Meşruiyet: Onayınız
  4. Verilerin iletilmesi: Veriler, yasal zorunluluk dışında üçüncü kişilere iletilmeyecektir.
  5. Veri depolama: Occentus Networks (AB) tarafından barındırılan veritabanı
  6. Haklar: Bilgilerinizi istediğiniz zaman sınırlayabilir, kurtarabilir ve silebilirsiniz.

  1.   Mocovirüs dijo
    önce 4 yıl

    Microsoft, github'ı satın aldığında:

    https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1

    Aşırı tesadüf, ahem.

    Mocovirud için yanıt