Повідомлення про те, що На GitHub виявлено різні проекти зараження шкідливе програмне забезпечення які спрямовані на популярну IDE "NetBeans" і який використовується в процесі компіляції для розповсюдження шкідливого програмного забезпечення.
Слідство це показало за допомогою зловмисного програмного забезпечення, про яке йдеться, який називали Octopus Scanner, бекдори були приховано приховані в 26 відкритих проектах зі сховищами на GitHub. Перші сліди маніфестації Восьминігового сканера датуються серпнем 2018 року.
Забезпечити ланцюг постачання з відкритим кодом - величезне завдання. Це виходить далеко за межі оцінки безпеки або просто виправлення останніх CVE. Безпека ланцюга поставок - це цілісність усієї екосистеми розробки та доставки програмного забезпечення. Від компрометації коду до того, як вони протікають через конвеєр CI / CD, до фактичної доставки випусків, існує потенційна втрата цілісності та проблем безпеки протягом усього життєвого циклу.
Про сканер Восьминіг
Це зловмисне програмне забезпечення виявлено Ви можете виявити файли за допомогою проектів NetBeans та додати свій власний код проектувати файли та зібрані файли JAR.
Робочим алгоритмом є пошук каталогу NetBeans з користувацькими проектами перебирайте всі проекти в цьому каталозі щоб мати можливість розмістити шкідливий сценарій у nbproject / cache.dat та внесіть зміни у файл nbproject / build-impl.xml, щоб викликати цей сценарій кожного разу, коли будується проект.
Під час компіляції, копія шкідливого програмного забезпечення включена в отримані файли JAR, які стають додатковим джерелом розповсюдження. Наприклад, шкідливі файли були розміщені у сховищах згаданих 26 відкритих проектів, а також у різних інших проектах при випуску збірок нових версій.
9 березня ми отримали повідомлення від дослідника безпеки, яке повідомило нас про набір сховищ, розміщених на GitHub, які, імовірно, ненавмисно обслуговували шкідливе програмне забезпечення. Після глибокого аналізу самого шкідливого програмного забезпечення ми виявили щось, чого раніше не бачили на нашій платформі: шкідливе програмне забезпечення, призначене для перелічення проектів NetBeans та розміщення у бекдорі, який використовує процес побудови та отримані артефакти для розповсюдження.
Завантажуючи та запускаючи проект із шкідливим файлом JAR іншим користувачем, наступний цикл пошуку NetBeans та введення шкідливого коду запускається у вашій системі, що відповідає робочій моделі саморозмножувальних комп’ютерних вірусів.
На додаток до функцій для самопоширення, шкідливий код також включає функції бэкдора для забезпечення віддаленого доступу до системи. На момент аналізу інциденту сервери управління бэкдором (C&C) не були активними.
Загалом, під час вивчення постраждалих проектів, Було виявлено 4 варіанти зараження. В одному з варіантів активувати задні двері в Linux, файл автозапуску «$ ГОЛОВНА / .config / автозапуск / octo.desktop » а на вікнах завдання запускалися за допомогою schtasks для запуску.
Бекдор може бути використаний для додавання закладок до розробленого розробником коду, організації витоку коду з власних систем, викрадення конфіденційних даних та захоплення облікових записів.
Нижче наведено огляд високого рівня роботи сканера Octopus:
- Визначте каталог користувача NetBeans
- Перелічіть усі проекти в каталозі NetBeans
- Завантажте код у cache.datanbproject / cache.dat
- Змініть nbproject / build-impl.xml, щоб переконатися, що корисне навантаження виконується кожного разу, коли будується проект NetBeans
- Якщо шкідливе корисне навантаження є екземпляром сканера Octopus, нещодавно створений файл JAR також заражений.
Дослідники GitHub не виключають що зловмисна діяльність не обмежується NetBeans, і можуть існувати інші варіанти Octopus Scanner які можуть бути інтегровані в процес побудови на основі систем Make, MsBuild, Gradle та інших.
Імена постраждалих проектів не згадуються, але їх легко знайти за допомогою пошуку GitHub для маски "CACHE.DAT".
Серед проектів, які виявили сліди зловмисної діяльності: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulations, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario-FR-.
Фуенте: https://securitylab.github.com/
Саме тоді, коли Microsoft придбала github:
https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1
Надмірна випадковість, гм.