Cette semaine a commencé par la découverte d'une menace appelée Octopus Scanner qui a été trouvée dans des référentiels GitHub infectés. Ce que nous savons, c'est qu'il se cache sur la plate-forme cloud depuis plusieurs semaines maintenant et qu'il est créé par un groupe de piratage inconnu. Le malware a été découvert par l'équipe de sécurité de GitHub lors d'une analyse des projets hébergés. Le scanner Octopus est perçu comme une menace dangereuse qui est programmée pour se déployer principalement via l'environnement de développement Apache NetBeans.
Le logiciel malveillant Octopus Scanner utilise GitHub comme moyen de distribution
GitHub, l'un des principaux référentiels de publication de logiciels et de projets connexes, a été trouvé pour héberger un malware malveillant connu sous le nom de Scanner Octopus. Ce virus a été créé par un groupe de piratage inconnu et a été placé sur divers référentiels. Le but des groupes criminels est d'utiliser une tactique basée sur le principe que les développeurs profitent du code publié et l'intègrent dans leurs propres projets. Dans la campagne d'attaque détectée, l'accent a été mis sur les utilisateurs du Apache Netbeans ICI (environnement de développement intégré), l'un des outils les plus populaires pour la création d'applications Java. L'équipe de sécurité de GitHub a été informée par un chercheur en sécurité d'un code suspect qui a déclenché une enquête menant à la découverte de la menace.
De nombreux référentiels se sont révélés infiltrés avec ce code - après un examen plus approfondi les propriétaires ignoraient que leur code avait été modifié pour inclure le malware. Tout cela montre qu'il est très difficile de suivre d'où l'infection initiale s'est produite.
Lorsqu'un référentiel contenant le code du malware est chargé dans le logiciel NetBeans, le virus démarre automatiquement. Les premières actions seront liées au mécanisme d'intégration des backdoors dans les projets ouverts dans le logiciel de développement. Cela se fait via un composant appelé compte-gouttes — il est conçu pour y charger du code créé par des pirates. Lorsque les fichiers de sortie compilés sont copiés et démarrés sur un système donné, les données contaminées démarrent le compte-gouttes correspondant dans le cadre de la séquence de démarrage. Le code backdroor lancera le lancement de plusieurs actions malveillantes dangereuses:
- Infection des fichiers — Le code malveillant s'assurera que tous les fichiers pertinents auront le code du virus copié dedans. Ceci est fait afin de continuer la réplication de la menace.
- Installation persistante –Le code malveillant qui sera intégré dans les projets Java garantira le démarrage du moteur à chaque démarrage du système.
- Infection Cheval de Troie — Le code inclus inclura la fonctionnalité RAT permettant aux attaquants distants d'avoir le contrôle sur les ordinateurs infectés. Cela peut inclure le vol de fichiers et la surveillance.
L'analyse de sécurité a révélé qu'il existe différentes versions du scanner Octopus jusque là. Les différentes variations se trouvent dans les référentiels GitHub. Tout code dangereux sera obscurci, ce qui le rendra plus difficile à détecter. On ne sait pas si les pirates modifieront ou non le code principal afin de déployer Octopus Scanner sur d'autres composants du système.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: