Questa settimana è iniziata con la scoperta di una minaccia chiamata Octopus Scanner che è stata trovata nei repository GitHub infetti. Quello che sappiamo è che è in agguato sulla piattaforma cloud da diverse settimane ormai ed è stato creato da un gruppo di hacking sconosciuto. Il malware è stato scoperto dal team di sicurezza di GitHub durante un'analisi dei progetti ospitati. Lo scanner Octopus è percepito come una minaccia pericolosa programmata per distribuirsi principalmente tramite l'ambiente di sviluppo di NetBeans di Apache.
Il malware per scanner Octopus utilizza GitHub come mezzo di distribuzione
GitHub come uno dei principali repository per la pubblicazione di software e progetti correlati è stato trovato per ospitare un malware pericoloso noto come Octopus Scanner. Questo virus è stato creato da un gruppo di hacking sconosciuto ed è stato inserito in vari repository. Lo scopo dei gruppi criminali è utilizzare una tattica basata sul principio secondo cui gli sviluppatori traggono vantaggio dal codice pubblicato e lo integrano nei propri progetti. Nella campagna di attacco rilevata l'enfasi era posta sugli utenti di Apache Netbeans QUI (ambiente di sviluppo integrato), uno degli strumenti più popolari per la creazione di applicazioni Java. Il team di sicurezza di GitHub è stato informato da un ricercatore di sicurezza di codice sospetto che ha richiesto un'indagine che ha portato alla scoperta della minaccia.
È stato scoperto che molti repository sono stati infiltrati con questo codice, dopo un'ulteriore revisione i proprietari non erano a conoscenza del fatto che il loro codice è stato modificato per includere il malware. Tutto ciò dimostra che è molto difficile rintracciare da dove si è verificata l'infezione iniziale.
Quando un repository contenente il codice malware viene caricato nel software NetBeans, il virus verrà avviato automaticamente. Le prime azioni saranno correlate al meccanismo di integrazione delle backdoor nei progetti che vengono aperti all'interno del software di sviluppo. Questo viene fatto tramite un componente chiamato a contagocce — è progettato per caricare codice creato dagli hacker. Quando i file di output compilati vengono copiati e avviati su un determinato sistema, i dati contaminati avvieranno il contagocce pertinente come parte della sequenza di avvio. Il codice backdroor lancerà il lancio di diverse azioni dannose sul malware:
- Infezione di file — Il codice malware farà in modo che a tutti i file pertinenti sia copiato il codice virus. Questo viene fatto per continuare la replica della minaccia.
- Installazione Persistent –Il codice malware che verrà incorporato nei progetti Java garantirà l'avvio del motore ogni volta che viene avviato il sistema.
- Infezione cavallo di Troia — Il codice incluso includerà la funzionalità RAT che consente agli aggressori remoti di avere il controllo sui computer infetti. Ciò può includere il furto e la sorveglianza dei file.
L'analisi di sicurezza ha scoperto che ci sono diverse versioni di Octopus Scanner finora. Le diverse varianti si trovano nei repository GitHub. Tutto il codice pericoloso verrà offuscato, rendendo più difficile il rilevamento. Non è noto se gli hacker modificheranno o meno il codice principale al fine di distribuire Octopus Scanner su altri componenti del sistema.