На GitHub знайшли шкідливе ПЗ, що атакує проєкти в середовищі NetBeans і поширюється через процеси збірки. Воно отримало назву Octopus Scanner і діяло щонайменше із серпня 2018 року. Дослідники знайшли бекдори, інтегровані у 26 відкритих проєктів з репозиторіями на GitHub.
Octopus Scanner може виявляти файли з проєктами NetBeans і додавати свій код як у файли проєкту, так і в JAR-файли збірки. Алгоритм спрацьовує приблизно так:
- пошук каталогу NetBeans з користувацькими проєктами;
- перелічування всіх проєктів у каталозі;
- копіювання шкідливого сценарію
cache.datуnbproject/cache.dat; - змінювання файлу
nbproject/build-impl.xml, щоб сценарій викликався під час кожної збірки NetBeans-проєкту; - копія шкідливого ПЗ додається у нові JAR-файли, через які сценарій поширюється далі.
Якщо користувач запускає проєкт зі шкідливими JAR-файлами, в його системі починається новий цикл пошуку NetBeans-проєктів — і цей процес продовжується далі.
Під час аналізу сервери C2, які керували бекдором, не були активними. Однак уражені репозиторії все одно вважаються небезпечними для користувачів GitHub, які могли б копіювати й використовувати ці проєкти. Окрім цього, в Octopus Scanner також були функції бекдору для надання дистанційного доступу до систем.
Загалом дослідники знайшли чотири типи зараження. Припускається, що можуть існувати інші варіанти Octopus Scanner, які вражають не лише проєкти NetBeans, а й використовують системи Make, MsBuild, Gradle та інші. Детальніше про це можна дізнатись у блозі GitHub.
Ще немає коментарів