Octopus Scanner:一種影響 NetBeans 並允許放置後門的惡意軟件

近日發布的通知稱 GitHub上已檢測到多種感染項目 惡意軟件的 針對流行的 IDE“NetBeans” 以及在編譯過程中使用的 進行惡意軟件的分發。

調查表明 在相關惡意軟件的幫助下, 被稱為八達通掃描儀,26個開放項目中暗藏後門 與 GitHub 上的存儲庫。 章魚掃描儀首次出現的痕跡可追溯至 2018 年 XNUMX 月。

確保開源供應鏈的安全是一項艱鉅的任務。 它遠遠超出了安全評估或僅僅修補最新 CVE 的範圍。 供應鏈安全關係到整個軟件開發和交付生態系統的完整性。 從代碼提交,到它們如何流經 CI/CD 管道,再到版本的實際交付,在整個生命週期中都可能存在缺失完整性和安全問題的可能性。

關於八達通掃描儀

該惡意軟件被發現 您可以使用 NetBeans 項目檢測文件並添加您自己的代碼 項目文件和收集的 JAR 文件。

工作算法是找到 NetBeans 目錄 對於用戶項目,迭代此目錄中的所有項目 能夠將惡意腳本放置在 nbproject/cache.dat 中 並對 nbproject/build-impl.xml 文件進行更改,以便在每次構建項目時調用此腳本。

在編譯過程中, 惡意軟件的副本包含在生成的 JAR 文件中, 成為額外的分發源。 例如,惡意文件被放置在上述26個開放項目的存儲庫中, 以及在發布新版本構建時的各種其他項目中。

9 月 XNUMX 日,我們收到了一位安全研究人員發來的消息,通知我們一組 GitHub 託管的存儲庫可能無意中提供了惡意軟件。 在對惡意軟件本身進行深入分析後,我們發現了一些以前在我們的平台上從未見過的東西:惡意軟件旨在枚舉 NetBeans 項目並刪除使用構建過程及其生成的工件進行傳播的後門。

當其他用戶上傳並啟動帶有惡意 JAR 文件的項目時, 下一個搜索週期 NetBeans 的使用和惡意代碼的引入 在您的系統中啟動,這對應於自我傳播計算機病毒的工作模型。

圖1:反編譯的章魚掃描儀

除了自我分發的功能外,惡意代碼還包括提供遠程訪問系統的後門功能。 在分析事件時,後門管理 (C&C) 服務器未處於活動狀態。

總的來說,在研究受影響的項目時, 發現了 4 種感染變種。 在激活選項之一 Linux中的後門,自動運行文件“$ HOME/.config/autostart/octo.desktop» 在 Windows 上,任務是通過 schtasks 啟動的。

後門可用於向開發人員開發的代碼添加標記、協調專有系統的代碼洩漏、竊取敏感數據以及捕獲帳戶。

以下是八達通掃描儀操作的高級描述:

  1. 識別用戶的 NetBeans 目錄
  2. 列出 NetBeans 目錄中的所有項目
  3. 加載cache.datanbproject/cache.dat中的代碼
  4. 修改 nbproject/build-impl.xml 以確保每次構建 NetBeans 項目時都執行有效負載
  5. 如果惡意負載是 Octopus 掃描程序的實例,則新創建的 JAR 文件也會受到感染。

GitHub 研究人員並不排除 惡意活動不僅限於 NetBeans,還可能存在 Octopus Scanner 的其他變體 可以集成到基於Make、MsBuild、Gradle等系統的構建過程中。

受影響項目的名稱並未提及,但可以通過 GitHub 搜索掩碼“CACHE.DAT”輕鬆找到它們。

在發現惡意活動痕蹟的項目中: V2Mp3Player、JavaPacman、Kosim-Framework、2D-物理-模擬、PacmanGame、GuessTheAnimal、SnakeCenterBox4、CallCenter、ProyectoGerundio、pacman-java_ia、SuperMario-FR-。

來源: https://securitylab.github.com/


發表您的評論

您的電子郵件地址將不會被發表。 必填字段標有 *

*

*

  1. 負責資料:AB Internet Networks 2008 SL
  2. 數據用途:控制垃圾郵件,註釋管理。
  3. 合法性:您的同意
  4. 數據通訊:除非有法律義務,否則不會將數據傳達給第三方。
  5. 數據存儲:Occentus Networks(EU)託管的數據庫
  6. 權利:您可以隨時限制,恢復和刪除您的信息。