近日發布的通知稱 GitHub上已檢測到多種感染項目 惡意軟件的 針對流行的 IDE“NetBeans” 以及在編譯過程中使用的 進行惡意軟件的分發。
調查表明 在相關惡意軟件的幫助下, 被稱為八達通掃描儀,26個開放項目中暗藏後門 與 GitHub 上的存儲庫。 章魚掃描儀首次出現的痕跡可追溯至 2018 年 XNUMX 月。
確保開源供應鏈的安全是一項艱鉅的任務。 它遠遠超出了安全評估或僅僅修補最新 CVE 的範圍。 供應鏈安全關係到整個軟件開發和交付生態系統的完整性。 從代碼提交,到它們如何流經 CI/CD 管道,再到版本的實際交付,在整個生命週期中都可能存在缺失完整性和安全問題的可能性。
關於八達通掃描儀
該惡意軟件被發現 您可以使用 NetBeans 項目檢測文件並添加您自己的代碼 項目文件和收集的 JAR 文件。
工作算法是找到 NetBeans 目錄 對於用戶項目,迭代此目錄中的所有項目 能夠將惡意腳本放置在 nbproject/cache.dat 中 並對 nbproject/build-impl.xml 文件進行更改,以便在每次構建項目時調用此腳本。
在編譯過程中, 惡意軟件的副本包含在生成的 JAR 文件中, 成為額外的分發源。 例如,惡意文件被放置在上述26個開放項目的存儲庫中, 以及在發布新版本構建時的各種其他項目中。
9 月 XNUMX 日,我們收到了一位安全研究人員發來的消息,通知我們一組 GitHub 託管的存儲庫可能無意中提供了惡意軟件。 在對惡意軟件本身進行深入分析後,我們發現了一些以前在我們的平台上從未見過的東西:惡意軟件旨在枚舉 NetBeans 項目並刪除使用構建過程及其生成的工件進行傳播的後門。
當其他用戶上傳並啟動帶有惡意 JAR 文件的項目時, 下一個搜索週期 NetBeans 的使用和惡意代碼的引入 在您的系統中啟動,這對應於自我傳播計算機病毒的工作模型。
除了自我分發的功能外,惡意代碼還包括提供遠程訪問系統的後門功能。 在分析事件時,後門管理 (C&C) 服務器未處於活動狀態。
總的來說,在研究受影響的項目時, 發現了 4 種感染變種。 在激活選項之一 Linux中的後門,自動運行文件“$ HOME/.config/autostart/octo.desktop» 在 Windows 上,任務是通過 schtasks 啟動的。
後門可用於向開發人員開發的代碼添加標記、協調專有系統的代碼洩漏、竊取敏感數據以及捕獲帳戶。
以下是八達通掃描儀操作的高級描述:
- 識別用戶的 NetBeans 目錄
- 列出 NetBeans 目錄中的所有項目
- 加載cache.datanbproject/cache.dat中的代碼
- 修改 nbproject/build-impl.xml 以確保每次構建 NetBeans 項目時都執行有效負載
- 如果惡意負載是 Octopus 掃描程序的實例,則新創建的 JAR 文件也會受到感染。
GitHub 研究人員並不排除 惡意活動不僅限於 NetBeans,還可能存在 Octopus Scanner 的其他變體 可以集成到基於Make、MsBuild、Gradle等系統的構建過程中。
受影響項目的名稱並未提及,但可以通過 GitHub 搜索掩碼“CACHE.DAT”輕鬆找到它們。
在發現惡意活動痕蹟的項目中: V2Mp3Player、JavaPacman、Kosim-Framework、2D-物理-模擬、PacmanGame、GuessTheAnimal、SnakeCenterBox4、CallCenter、ProyectoGerundio、pacman-java_ia、SuperMario-FR-。
來源: https://securitylab.github.com/
就在微軟收購 github 的時候:
https://www.google.es/amp/s/www.xataka.com/aplicaciones/oficial-microsoft-compra-github-7-500-millones-dolares/amp?espv=1
太巧合了,咳咳。