Max Home IndustryИсследование GitHub Security Labs обнаружило вредоносное ПО в 26 репозиториях с открытым исходным кодом, основанных на Apache NetBeans. Команда GitHub действовала по наводке исследователя безопасности о том, что репозитории, размещенные на GitHub, непреднамеренно активно обслуживали вредоносные программы.
Команда GitHub обнаружила, что вредоносное ПО Octopus Scanner было разработано для перечисления и бэкдора проектов NetBeans, а также для использования процесса сборки и его результирующих артефактов для распространения.
Apache заявил, что начальная точка заражения не определена, и вся деятельность с вредоносным ПО была закрыта. Вредоносная программа опиралась на шаблоны проектов, созданные Apache NetBeans с использованием более старой настроенной системы сборки на основе Apache Ant, которая использовалась с 2006 года. Это не влияет на пользователей других систем сборки, таких как Apache Maven или Gradle, или даже на большинство пользователей Apache Ant.
Вредоносная программа работает следующим образом: когда разработчик загружает проект из зараженного репозитория, сканер Octopus активируется и сканирует компьютер разработчика на наличие NetBeans. При наличии NetBeans устанавливается капельница начальной стадии. С этого момента всякий раз, когда создавался проект, файлы JAR заражались капельницей. При выполнении капельница порождает Инструмент удаленного администрирования (RAT), который подключается к набору серверов C2. Одним из ярких моментов является то, что серверы вредоносных программ C2, похоже, не были активны во время анализа,
Команда безопасности GitHub говорит, что, хотя вредоносное ПО NetBeans было идентифицировано, аналогичное вредоносное ПО также могло быть реализовано для систем сборки, таких как Make, MSBuild, Gradle и других, и оно может распространяться незаметно. По их оценкам, вредоносное ПО могло присутствовать с 2018 года.
Команда GitHub пришла к выводу, что вредоносное ПО было особенно опасным, поскольку основными зараженными пользователями являются разработчики, поэтому полученный доступ представляет большой интерес для злоумышленников, поскольку разработчики, как правило, имеют доступ к дополнительным проектам, производственным средам, паролям баз данных и другим критически важным активам.