章鱼扫描仪:一种影响NetBeans并允许放置后门的恶意软件

通知 在GitHub上检测到各种感染项目 恶意软件 定向到流行的IDE“ NetBeans” 以及在编译过程中使用的 分发恶意软件。

调查显示 在相关恶意软件的帮助下, 被称为章鱼扫描仪,后门被秘密隐藏在26个开放项目中 与GitHub上的存储库。 章鱼扫描仪的最早痕迹是2018年XNUMX月。

确保开源供应链的安全是一项艰巨的任务。 它远远超出了安全评估或仅修补最新CVE的范围。 供应链安全性涉及整个软件开发和交付生态系统的完整性。 从代码泄露到它们如何在CI / CD管道中流动,再到实际发行,在整个生命周期中都有可能丢失完整性和安全性问题。

关于章鱼扫描仪

该恶意软件被发现 您可以使用NetBeans项目检测文件并添加自己的代码 投影文件和收集的JAR文件。

工作算法是找到NetBeans目录 与用户项目一起,遍历此目录中的所有项目 才能将恶意脚本放置在nbproject / cache.dat中 并对nbproject / build-impl.xml文件进行更改,以在每次构建项目时调用此脚本。

在编译过程中, 产生的JAR文件中包含该恶意软件的副本, 成为额外的发行来源。 例如,恶意文件被放置在上述26个打开的项目的存储库中, 以及发布新版本的版本时,以及其他各种项目中。

9月XNUMX日,我们收到了一位安全研究人员的消息,通知我们有关GitHub上托管的一组存储库的信息,这些存储库可能是无意中为恶意软件提供服务的。 在对恶意软件本身进行深入分析之后,我们发现了我们平台上从未见过的东西:恶意软件旨在枚举NetBeans项目,并将其放入利用构建过程及其产生的工件进行传播的后门程序中。

当其他用户上传并启动带有恶意JAR文件的项目时, 下一个搜索周期 NetBeans的介绍和恶意代码的介绍 在您的系统中启动,它对应于自动传播计算机病毒的工作模型。

图1:反编译的章鱼扫描

除了自分发功能之外,恶意代码还包括后门功能,以提供对系统的远程访问。 在分析事件时,后门管理(C&C)服务器未处于活动状态。

总之,在研究受影响的项目时, 揭示了4种感染变体。 在其中一个选项中进行激活 Linux中的后门,自动运行文件«$ 主页/ .config / autostart / octo.desktop» 在Windows上,这些任务是通过schtasks启动的。

后门程序可用于向开发人员开发的代码添加书签,组织专有系统中的代码泄漏,窃取敏感数据并捕获帐户。

以下是章鱼扫描仪操作的高级概述:

  1. 识别用户的NetBeans目录
  2. 列出NetBeans目录中的所有项目
  3. 将代码加载到cache.datanbproject / cache.dat中
  4. 修改nbproject / build-impl.xml以确保每次构建NetBeans项目时都执行有效负载
  5. 如果恶意负载是章鱼扫描仪的实例,则新创建的JAR文件也会被感染。

GitHub研究人员不排除 恶意活动不仅限于NetBeans,并且八达通扫描仪可能还有其他变体 可以集成到基于Make,MsBuild,Gradle和其他系统的构建过程中。

没有提到受影响项目的名称,但是可以通过GitHub搜索掩码“ CACHE.DAT”轻松找到。

在发现恶意活动痕迹的项目中: V2Mp3Player,JavaPacman,Kosim-Framework,2D-Physics-The Simulations,PacmanGame,GuessTheAnimal,SnakeCenterBox4,CallCenter,ProyectoGerundio,pacman-java_ia,SuperMario- FR-。

数据来源: https://securitylab.github.com/


发表评论,留下您的评论

发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责资料:AB Internet Networks 2008 SL
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。