Diese Woche begann mit der Entdeckung einer Bedrohung namens Octopus Scanner, die in infizierten GitHub-Repositories gefunden wurde. Was wir wissen ist, dass es seit einigen Wochen auf der Cloud-Plattform lauert und von einer unbekannten Hacking-Gruppe erstellt wurde. Die Malware wurde vom GitHub-Sicherheitsteam bei einer Analyse der gehosteten Projekte entdeckt. Der Octopus-Scanner wird als gefährliche Bedrohung angesehen, die so programmiert ist, dass sie sich hauptsächlich über die Apache NetBeans-Entwicklungsumgebung selbst bereitstellt.
Die Octopus Scanner Malware verwendet GitHub als Verteilungsmedium
Es wurde festgestellt, dass GitHub als eines der führenden Repositories für die Veröffentlichung von Software und verwandten Projekten eine gefährliche Malware namens the hostet Octopus Scanner. Dieser Virus wurde von einer unbekannten Hacking-Gruppe erstellt und in verschiedenen Repositorys abgelegt. Ziel der kriminellen Gruppen ist es, eine Taktik anzuwenden, die auf dem Prinzip basiert, dass Entwickler den veröffentlichten Code nutzen und in ihre eigenen Projekte integrieren. In der erkannten Angriffskampagne lag der Schwerpunkt auf den Nutzern der Apache Netbeans HIER (integrierte Entwicklungsumgebung), eines der beliebtesten Tools zum Erstellen von Java-Anwendungen. Das GitHub-Sicherheitsteam wurde von einem Sicherheitsforscher über verdächtigen Code informiert, der zu einer Untersuchung führte, die zur Entdeckung der Bedrohung führte.
Es wurde festgestellt, dass viele Repositorys mit diesem Code infiltriert sind - bei weiterer Überprüfung Den Eigentümern war nicht bekannt, dass ihr Code geändert wurde um die Malware einzuschließen. All dies zeigt, dass es sehr schwierig ist zu verfolgen, von wo aus die ursprüngliche Infektion stattgefunden hat.
Wenn ein Repository mit dem Malware-Code in die NetBeans-Software geladen wird, wird der Virus automatisch gestartet. Die ersten Aktionen beziehen sich auf den Mechanismus der Einbettung von Hintertüren in die Projekte, die in der Entwicklungssoftware geöffnet werden. Dies erfolgt über eine Komponente namens a Tropfer — Es wurde entwickelt, um von Hackern erstellten Code in sie zu laden. Wenn die kompilierten Ausgabedateien auf ein bestimmtes System kopiert und gestartet werden, starten die kontaminierten Daten den entsprechenden Dropper als Teil der Startsequenz. Der Backdroor-Code startet mehrere gefährliche Malware-Aktionen:
- Datei-Infektion — Der Malware-Code stellt sicher, dass in alle relevanten Dateien der Virencode kopiert wird. Dies geschieht, um die Replikation der Bedrohung fortzusetzen.
- persistent Installations –Der Malware-Code, der in die Java-Projekte eingebettet wird, stellt sicher, dass die Engine bei jedem Systemstart gestartet wird.
- Trojanisches Pferd Infektion — Der enthaltene Code enthält RAT-Funktionen, mit denen Angreifer von Remotestandorten aus die Kontrolle über die infizierten Computer haben können. Dies kann Datendiebstahl und Überwachung umfassen.
Die Sicherheitsanalyse ergab, dass es solche gibt verschiedene Versionen des Octopus Scanners bisher. Die verschiedenen Variationen finden Sie in den GitHub-Repositorys. Alle gefährlichen Codes werden verschleiert, was die Erkennung erschwert. Es ist nicht bekannt, ob die Hacker den Kerncode ändern, um Octopus Scanner auf anderen Systemkomponenten bereitzustellen.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: