Η GitHub Inc. προειδοποιεί τους προγραμματιστές για ένα νέο κακόβουλο λογισμικό, που εξαπλώνεται στο site της μέσω boobytrapped Java projects.
Το κακόβουλο λογισμικό, το οποίο η ομάδα ασφαλείας του GitHub ονόμασε Octopus Scanner, βρέθηκε σε projects, τα οποία διαχειρίζονται οι προγραμματιστές χρησιμοποιώντας το Apache NetBeans IDE (integrated development environment), ένα εργαλείο για Java εφαρμογές.
Η GitHub είπε, ότι ακολουθώντας ένα tip από έναν ερευνητή ασφαλείας, βρήκε 26 repositories, που ανέβηκαν στο site της, και περιείχαν το malware Octopus Scanner.
Αν κάποιος χρήστης κατεβάσει κάποιο από αυτά τα 26 projects, το malware θα εξαπλωθεί στα τοπικά συστήματα και θα τα μολύνει.
Θα σαρώσει το workstation του θύματος για μια τοπική εγκατάσταση NetBeans IDE και θα προχωρήσει σε άλλα Java projects του προγραμματιστή.
Στόχος είναι η εγκατάσταση ενός Remote Access Trojan (RAT)
Το malware μπορεί να τρέξει σε Windows, macOS και Linux. Το τελευταίο βήμα της μόλυνσης είναι η εγκατάσταση ενός trojan απομακρυσμένης πρόσβασης (RAT), που επιτρέπει στον χειριστή του Octopus Scanner να διεισδύσει τον υπολογιστή του θύματος, αναζητώντας ευαίσθητες πληροφορίες.
Η GitHub λέει ότι η εκστρατεία του Octopus Scanner δεν είναι καινούρια. Το παλαιότερο δείγμα του κακόβουλου λογισμικού ανέβηκε στο VirusTotal τον Αύγουστο του 2018.
Η GitHub λέει ότι βρήκε μόνο 26 projects στο site της με ίχνη του Octopus Scanner, αλλά πιστεύει ότι πολλά περισσότερα projects έχουν μολυνθεί τα τελευταία δύο χρόνια.
Ωστόσο, ο πραγματικός σκοπός της επίθεσης ήταν να τοποθετηθεί ένα RAT στα μηχανήματα των προγραμματιστών που εργάζονται σε ευαίσθητα projects ή σε μεγάλες εταιρείες λογισμικού και όχι απαραίτητα η μόλυνση open-source Java projects.
Το RAT μπορεί να δώσει, στον επιτιθέμενο, πρόσβαση για να κλέψει εμπιστευτικές πληροφορίες σχετικά με επερχόμενα εργαλεία, πηγαίο κώδικα κλπ.
“Ήταν ενδιαφέρον ότι αυτό το κακόβουλο λογισμικό επιτέθηκε στη διαδικασία δημιουργίας NetBeans ειδικά επειδή δεν είναι το πιο συνηθισμένο Java IDE που χρησιμοποιείται σήμερα”, δήλωσε η ομάδα ασφαλείας του GitHub.
“Εάν οι προγραμματιστές του κακόβουλου λογισμικού αφιέρωσαν χρόνο για να εφαρμόσουν αυτό το κακόβουλο λογισμικό ειδικά για το NetBeans, αυτό σημαίνει ότι θα μπορούσε είτε να είναι μια στοχευμένη επίθεση είτε να έχουν ήδη εφαρμόσει το κακόβουλο λογισμικό για συστήματα όπως τα Make, MsBuild, Gradle και άλλα“, πρόσθεσε το GitHub.
Η GitHub δεν δημοσίευσε το όνομα των 26 poisoned projects, αλλά δημοσίευσε λεπτομέρειες σχετικά με τη διαδικασία μόλυνσης που ακολουθεί το Octopus Scanner.