GitHub发现了一种恶意软件称为Octopus Scanner,主要针对开发人员,通过其系统上受感染的存储库传播,可远程控制用户计算机。
该恶意软件针对Apache NetBeans,后者是用于编写Java软件的集成开发环境。GitHub Security Labs团队在编写攻击日志时,解释了该恶意软件如何潜入上传到其站点的源代码存储库中,当开发人员下载使用受感染的存储库并创建软件程序时激活。
继3月9日安全研究人员的提示后,微软拥有的站点对该软件进行了分析,以了解其工作方式。
GitHub是基于Git的在线服务,Git是Linux创造者Linus Torvalds开发的代码版本控制系统。Git使开发人员可以在其软件开发项目中拍摄文件快照,从而使他们能够在以后还原更改或创建项目的不同分支以供不同的人使用。GitHub允许他们将这些存储库的副本“推送”到其在线服务,以便其他开发人员也可以下载(克隆)并对其进行处理。
这是Octopus Scanner如何发挥其神秘效果的方法。开发人员从受该软件感染的存储库中下载项目并进行构建,这意味着使用源代码来创建工作程序。这样构建过程会激活恶意软件。Octopus Scanner扫描他们的计算机,看他们是否安装了NetBeans IDE。如果没有,则不会采取进一步的措施。但是,如果这样做的话,它会通过一个投递器感染构建的文件,该投递器会传递最终的有效负载:一个远程访问木马(RAT),使作案者可以控制用户的计算机。该恶意软件还尝试阻止任何新项目构建来替换受感染的项目,从而将其自身保存在受感染的系统上。
Octopus Scanner不仅会感染内置文件。GitHub在其扫描中发现的大多数变体也感染了项目的源代码,这意味着镜像到远程存储库的任何其他新感染的项目都将在GitHub上进一步传播恶意软件。
GitHub安全实验室扫描了该站点的存储库,发现其中包含26个恶意软件。该团队将发现的恶意软件与VirusTotal上的软件哈希进行匹配,发现检测率很低,从而使其传播不容易被捕获。
GitHub定期与使用其存储库故意分发恶意软件的人打交道。通常,GitHub可以关闭这些存储库并删除帐户,但是Octopus Scanner更为棘手,因为拥有存储库的开发人员(称为维护者)不知道自己已被感染。他们正在运行合法项目,因此阻止这些帐户或存储库可能会影响业务。GitHub也不能只删除受感染存储库中的受感染文件,因为这些文件对于合法软件项目至关重要。
GitHub表示很惊讶看到针对NetBeans的恶意软件,因为它不是最受欢迎的Java IDE。结论是:
由于主要感染的用户是开发人员,因此攻击者对获得的访问权限非常感兴趣,因为开发人员通常可以访问其他项目,生产环境,数据库密码和其他重要资产。升级访问存在巨大潜力,这在大多数情况下是攻击者的核心目标。
我们可能永远都不知道谁是Octopus Scanner背后的人,但是根据GitHub的研究,它早在2018年就一直在流通。这是一个偷偷摸摸的代码示例,该代码隐蔽且有效地针对特定人群。
来源:techweb.com.cn
“