自2018年8月以来在NetBeans版本中发现隐藏的恶意软件

2020-05-30 08:42:51

GitHub周四发布了安全警报,警告一种新的恶意软件变种,这种变种已经通过诱人的Java项目在其网站上传播。

GitHub的安全团队已将该恶意软件命名为Octopus Scanner,该软件是在使用Apache NetBeans IDE(集成开发环境)管理的项目中发现的,Apache NetBeans IDE是一种用于编写和编译Java应用程序的工具。

GitHub表示,在3月9日收到一名安全研究人员的提示后,它在其网站上发现了26个上传到其网站上的包含八达通扫描仪恶意软件的存储库。

GitHub说,当其他用户下载26个项目中的任何一个时,恶意软件的行为就像是自我传播的病毒,并感染他们的本地计算机。

它将扫描受害者的工作站以查找本地安装的NetBeans IDE,然后继续深入开发人员的其他Java项目。

该恶意软件可在Windows、MacOS和Linux上运行,然后将下载远程访问特洛伊木马(RAT)作为其感染的最后一步,允许八达通扫描仪操作员在受感染受害者的计算机中搜寻敏感信息。

GitHub表示,八达通扫描仪活动已经持续了多年,2018年8月,最古老的恶意软件样本被上传到VirusTotal网络扫描仪上,在此期间,恶意软件运行畅通无阻。

虽然GitHub表示,它在其平台上只发现了26个上传的项目,其中包含八达通扫描仪恶意软件的痕迹,但它认为,在过去两年里,有更多的项目被感染。

然而,攻击的真正目的是在从事敏感项目或在主要软件公司内部工作的开发人员的机器上放置老鼠,而不一定是毒害开源Java项目。

RAT将授予攻击者访问权限,以窃取有关即将推出的工具、专有源代码或更改代码以在企业或其他封闭源代码软件中启用后门的机密信息。

GitHub的安全团队在周四的一份报告中表示,有趣的是,这个恶意软件专门攻击了NetBeans的构建过程,因为它不是当今使用的最常见的Java IDE。

GitHub补充说,如果恶意软件开发人员花时间专门为NetBeans实现了此恶意软件,这意味着这可能是一次有针对性的攻击,或者他们可能已经为Make、MsBuild、Gradle等构建系统实现了恶意软件,并且它可能正在不知不觉中传播。

虽然感染构建过程当然不是一个新想法,但看到它在野外被积极部署和使用肯定是一个令人不安的趋势。

GitHub没有公布26个中毒项目的名称,但已经公布了八达通扫描仪感染过程的细节,因此NetBeans用户和Java开发者可以查看他们的项目是否有被更改的迹象。