Octopus Scanner: phần mềm độc hại ảnh hưởng đến NetBeans và cho phép đặt cửa sau

Darkcrizt

4 phút

Thông báo rằng Các dự án lây nhiễm khác nhau đã được phát hiện trên GitHub phần mềm độc hại được chuyển hướng đến IDE "NetBeans" phổ biến và cái nào đang sử dụng trong quá trình biên dịch để phân phối phần mềm độc hại.

Cuộc điều tra cho thấy rằng với sự trợ giúp của phần mềm độc hại được đề cập, được gọi là Máy quét bạch tuộc, backdoor được giấu kín trong 26 dự án mở với kho trên GitHub. Dấu vết đầu tiên của biểu hiện Máy quét bạch tuộc là vào tháng 2018 năm XNUMX.

Đảm bảo chuỗi cung ứng nguồn mở là một nhiệm vụ rất lớn. Nó vượt xa việc đánh giá bảo mật hoặc chỉ vá các CVE mới nhất. Bảo mật chuỗi cung ứng là về tính toàn vẹn của toàn bộ hệ sinh thái phân phối và phát triển phần mềm. Từ sự thỏa hiệp mã, đến cách chúng đi qua đường ống CI / CD, đến việc phân phối thực tế các bản phát hành, đều có khả năng mất tính toàn vẹn và các vấn đề bảo mật trong toàn bộ vòng đời.

Giới thiệu về Máy quét bạch tuộc

Phần mềm độc hại này đã được phát hiện bạn có thể phát hiện các tệp bằng các dự án NetBeans và thêm mã của riêng bạn để chiếu tệp và tệp JAR đã thu thập.

Thuật toán làm việc là tìm thư mục NetBeans với các dự án của người dùng, hãy lặp lại tất cả các dự án trong thư mục này để có thể đặt tập lệnh độc hại trong nbproject / cache.dat và thực hiện các thay đổi đối với tệp nbproject / build-impl.xml để gọi tập lệnh này mỗi khi dự án được xây dựng.

Trong quá trình biên dịch, một bản sao của phần mềm độc hại được bao gồm trong các tệp JAR kết quả, trở thành một nguồn phân phối bổ sung. Ví dụ: các tệp độc hại được đặt trong kho của 26 dự án mở nói trên, cũng như trong các dự án khác khi xuất bản các bản dựng của phiên bản mới.

Vào ngày 9 tháng XNUMX, chúng tôi nhận được tin nhắn từ một nhà nghiên cứu bảo mật thông báo cho chúng tôi về một tập hợp các kho lưu trữ trên GitHub được cho là đang vô tình phân phối phần mềm độc hại. Sau khi phân tích sâu về bản thân phần mềm độc hại, chúng tôi đã phát hiện ra thứ mà chúng tôi chưa từng thấy trước đây trên nền tảng của mình: phần mềm độc hại được thiết kế để liệt kê các dự án của NetBeans và đưa vào một cửa sau sử dụng quá trình xây dựng và kết quả của nó để phát tán.

Khi người dùng khác tải lên và bắt đầu dự án với tệp JAR độc hại, chu kỳ tìm kiếm tiếp theo của NetBeans và giới thiệu mã độc hại bắt đầu trong hệ thống của bạn, tương ứng với mô hình hoạt động của virus máy tính tự lan truyền.

Hình 1: Quét bạch tuộc đã phân hủy

Ngoài chức năng tự phát tán, mã độc còn có chức năng cửa hậu để cung cấp quyền truy cập từ xa vào hệ thống. Vào thời điểm sự cố được phân tích, các máy chủ quản lý cửa hậu (C&C) không hoạt động.

Nói chung, khi nghiên cứu các dự án bị ảnh hưởng, 4 biến thể lây nhiễm đã được tiết lộ. Trong một trong các tùy chọn để kích hoạt cửa sau trong Linux, tệp tự động chạy «$ TRANG CHỦ / .config / autostart / octo.desktop » và trên windows, các tác vụ đã được bắt đầu thông qua schtasks để bắt đầu.

Cửa hậu có thể được sử dụng để thêm dấu trang vào mã do nhà phát triển phát triển, tổ chức rò rỉ mã từ các hệ thống độc quyền, ăn cắp dữ liệu nhạy cảm và chiếm tài khoản.

Dưới đây là tổng quan cấp cao về hoạt động của máy quét Octopus:

  1. Xác định thư mục NetBeans của người dùng
  2. Liệt kê tất cả các dự án trong thư mục NetBeans
  3. Tải mã vào cache.datanbproject / cache.dat
  4. Sửa đổi nbproject / build-impl.xml để đảm bảo tải trọng được thực thi mỗi khi dự án NetBeans được xây dựng
  5. Nếu tải trọng độc hại là một phiên bản của máy quét Octopus, thì tệp JAR mới được tạo cũng bị nhiễm.

Các nhà nghiên cứu GitHub không loại trừ hoạt động độc hại không giới hạn ở NetBeans và có thể có các biến thể khác của Máy quét bạch tuộc có thể được tích hợp vào quá trình xây dựng dựa trên Make, MsBuild, Gradle và các hệ thống khác.

Tên của các dự án bị ảnh hưởng không được đề cập, nhưng có thể dễ dàng tìm thấy thông qua tìm kiếm trên GitHub cho mặt nạ "CACHE.DAT".

Trong số các dự án đã tìm thấy dấu vết của hoạt động độc hại: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-Physics-the Simulation, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario- FR-.

Fuente: https://securitylab.github.com/


Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: AB Internet Networks 2008 SL
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.

  1.   mucovirut dijo
    trước 4 năm

    Ngay khi Microsoft mua github:

    https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1

    Trùng hợp quá, ahem.

    Trả lời Mocovirud