今週は、感染したGitHubリポジトリで発見されたOctopusScannerと呼ばれる脅威の発見から始まりました。. 私たちが知っていることは、それが数週間クラウドプラットフォームに潜んでいて、未知のハッキンググループによって作成されているということです. マルウェアは、ホストされているプロジェクトの分析中にGitHubセキュリティチームによって発見されました. Octopus Scannerは、主にApacheNetBeans開発環境を介して自身をデプロイするようにプログラムされた危険な脅威であると認識されています。.
OctopusスキャナーマルウェアはGitHubを配布媒体として使用します
ソフトウェアおよび関連プロジェクトを投稿するための主要なリポジトリの1つとしてのGitHubは、 タコスキャナー. このウイルスは、未知のハッキンググループによって作成され、さまざまなリポジトリに配置されています。. 犯罪グループの目的は、開発者が公開されたコードを利用し、それを独自のプロジェクトに統合するという原則に基づいた戦術を使用することです。. 検出された攻撃キャンペーンでは、ユーザーに重点が置かれました Apache Netbeans IDE (統合開発環境), Javaアプリケーションを作成するための最も人気のあるツールの1つ. GitHubセキュリティチームは、セキュリティ研究者から疑わしいコードの通知を受け、脅威の発見につながる調査を促しました.
さらに検討した結果、多くのリポジトリにこのコードが侵入していることが判明しました。 所有者は自分のコードが変更されていることに気づいていませんでした マルウェアを含める. これらすべては、最初の感染が発生した場所を追跡することが非常に難しいことを示しています.
マルウェアコードを含むリポジトリがNetBeansソフトウェアにロードされると、ウイルスは自動的に開始されます. 最初のアクションは、開発ソフトウェア内で開かれるプロジェクトにバックドアを埋め込むメカニズムに関連します。. これは、 スポイト — ハッカーが作成したコードをロードするように設計されています. コンパイルされた出力ファイルがコピーされ、特定のシステムで開始されると、汚染されたデータは、起動シーケンスの一部として関連するドロッパーを起動します. backdroorコードは、いくつかの危険なマルウェアアクションを起動します:
- ファイル感染 — マルウェアコードは、関連するすべてのファイルにウイルスコードがコピーされていることを確認します. これは、脅威の複製を継続するために行われます.
- 永続的なインストール –Javaプロジェクトに埋め込まれるマルウェアコードは、システムが起動されるたびにエンジンが起動されることを保証します.
- トロイの木馬感染 — 含まれているコードには、リモートの攻撃者が感染したコンピューターを制御できるようにするRAT機能が含まれています。. これには、ファイルの盗難や監視が含まれる場合があります.
セキュリティ分析により、 タコスキャナーの異なるバージョン これまでのところ. さまざまなバリエーションがGitHubリポジトリ内にあります. すべての危険なコードは難読化され、検出が困難になります. ハッカーがOctopusScannerを他のシステムコンポーネントにデプロイするためにコアコードを変更するかどうかは不明です。.
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: