Octopus Scanner malware kompromituje projekty s otevřeným zdrojovým kódem pro GitHub

Tým GitHub Security Incident Response Team (SIRT) varoval před malwarovou kampaní, která se šíří na GitHub prostřednictvím kompromitovaných Java projektů. Existence kampaně vyšla najevo počátkem března, kdy bezpečnostní výzkumník kontaktoval tým o sadě úložišť, které aktivně slouží pro šíření malwaru.

Další vyšetřování ukázalo, že malware jménem Octopus Scanner je navržen tak, aby ohrozil projekty NetBeans. Tým našel 26 projektů s otevřeným zdrojovým kódem, které byly díky tomuto malwaru zranitelné vůči backdoor zranitelnosti.

Octopus Scanner identifikuje soubory projektu NetBeans a vkládá škodlivé užitečné zatížení jak do projektových souborů, tak do sestavených souborů JAR.

Níže je uveden podrobný popis operace Octopus Scanner:

• Identifikace adresáře uživatele NetBeans
• Provedení výčtu všech projektů v adresáři
• Zkopírování škodlivého užitečné zatížení cache.dat do nbproject / cache.dat
• Upravení souboru nbproject / build-impl.xml, aby se ujistil, že škodlivé užitečné zatížení je spuštěno pokaždé, když se vytvoří projekt NetBeans.
• Pokud je škodlivé užitečné zatížení instancí samotného Octopus Scanerru, infikuje se také nově vytvořený soubor JAR.

Jak se zdá, kampaň s tímto malwarem probíhá již roky. Výzkumníci uvedli, že nejstarší vzorek malwaru byl nahrán na VirusTotal v srpnu 2018.

„Přestože se servery malwaru C2 v době analýzy nezdály aktivní, ohrožená úložiště stále představují riziko pro uživatele GitHubu, kteří by mohli potenciálně klonovat a stavět tyto projekty,“ uvedl bezpečnostní tým.