通知 在GitHub上检测到各种感染项目 恶意软件 定向到流行的IDE“ NetBeans” 以及在编译过程中使用的 分发恶意软件。
调查显示 在相关恶意软件的帮助下, 被称为章鱼扫描仪,后门被秘密隐藏在26个开放项目中 与GitHub上的存储库。 章鱼扫描仪的最早痕迹是2018年XNUMX月。
确保开源供应链的安全是一项艰巨的任务。 它远远超出了安全评估或仅修补最新CVE的范围。 供应链安全性涉及整个软件开发和交付生态系统的完整性。 从代码泄露到它们如何在CI / CD管道中流动,再到实际发行,在整个生命周期中都有可能丢失完整性和安全性问题。
关于章鱼扫描仪
该恶意软件被发现 您可以使用NetBeans项目检测文件并添加自己的代码 投影文件和收集的JAR文件。
工作算法是找到NetBeans目录 与用户项目一起,遍历此目录中的所有项目 才能将恶意脚本放置在nbproject / cache.dat中 并对nbproject / build-impl.xml文件进行更改,以在每次构建项目时调用此脚本。
在编译过程中, 产生的JAR文件中包含该恶意软件的副本, 成为额外的发行来源。 例如,恶意文件被放置在上述26个打开的项目的存储库中, 以及发布新版本的版本时,以及其他各种项目中。
9月XNUMX日,我们收到了一位安全研究人员的消息,通知我们有关GitHub上托管的一组存储库的信息,这些存储库可能是无意中为恶意软件提供服务的。 在对恶意软件本身进行深入分析之后,我们发现了我们平台上从未见过的东西:恶意软件旨在枚举NetBeans项目,并将其放入利用构建过程及其产生的工件进行传播的后门程序中。
当其他用户上传并启动带有恶意JAR文件的项目时, 下一个搜索周期 NetBeans的介绍和恶意代码的介绍 在您的系统中启动,它对应于自动传播计算机病毒的工作模型。
除了自分发功能之外,恶意代码还包括后门功能,以提供对系统的远程访问。 在分析事件时,后门管理(C&C)服务器未处于活动状态。
总之,在研究受影响的项目时, 揭示了4种感染变体。 在其中一个选项中进行激活 Linux中的后门,自动运行文件«$ 主页/ .config / autostart / octo.desktop» 在Windows上,这些任务是通过schtasks启动的。
后门程序可用于向开发人员开发的代码添加书签,组织专有系统中的代码泄漏,窃取敏感数据并捕获帐户。
以下是章鱼扫描仪操作的高级概述:
- 识别用户的NetBeans目录
- 列出NetBeans目录中的所有项目
- 将代码加载到cache.datanbproject / cache.dat中
- 修改nbproject / build-impl.xml以确保每次构建NetBeans项目时都执行有效负载
- 如果恶意负载是章鱼扫描仪的实例,则新创建的JAR文件也会被感染。
GitHub研究人员不排除 恶意活动不仅限于NetBeans,并且八达通扫描仪可能还有其他变体 可以集成到基于Make,MsBuild,Gradle和其他系统的构建过程中。
没有提到受影响项目的名称,但是可以通过GitHub搜索掩码“ CACHE.DAT”轻松找到。
在发现恶意活动痕迹的项目中: V2Mp3Player,JavaPacman,Kosim-Framework,2D-Physics-The Simulations,PacmanGame,GuessTheAnimal,SnakeCenterBox4,CallCenter,ProyectoGerundio,pacman-java_ia,SuperMario- FR-。
数据来源: https://securitylab.github.com/
就在微软收购github时:
https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1
太巧合了,哎呀。