Esta semana começou com a descoberta de uma ameaça chamada Octopus Scanner, que foi encontrada em repositórios GitHub infectados. O que sabemos é que ele está escondido na plataforma da nuvem há várias semanas e é criado por um grupo de hackers desconhecido. O malware foi descoberto pela equipe de segurança do GitHub durante uma análise dos projetos hospedados. O Octopus Scanner é considerado uma ameaça perigosa, programada para se implantar principalmente por meio do ambiente de desenvolvimento Apache NetBeans.
O malware do scanner Octopus usa o GitHub como meio de distribuição
O GitHub, como um dos principais repositórios para postar software e projetos relacionados, hospeda um malware perigoso conhecido como Octopus Scanner. Este vírus foi criado por um grupo de hackers desconhecido e foi colocado em vários repositórios. O objetivo dos grupos criminosos é usar uma tática baseada no princípio de que os desenvolvedores tiram proveito do código publicado e o integram em seus próprios projetos. Na campanha de ataque detectada, a ênfase estava nos usuários do Apache Netbeans AQUI (ambiente de desenvolvimento integrado), uma das ferramentas mais populares para a criação de aplicativos Java. A equipe de segurança do GitHub foi notificada por um pesquisador de segurança de código suspeito, o que levou a uma investigação que levou à descoberta da ameaça.
Foi encontrado que muitos repositórios estavam infiltrados com esse código - após uma análise mais aprofundada os proprietários não sabiam que seu código foi modificado para incluir o malware. Tudo isso mostra que é muito difícil rastrear de onde a infecção inicial ocorreu.
Quando um repositório que contém o código do malware é carregado no software NetBeans, o vírus é iniciado automaticamente. As primeiras ações serão relacionadas ao mecanismo de incorporação de backdoors nos projetos que são abertos no software de desenvolvimento. Isso é feito através de um componente chamado conta-gotas — Ele foi projetado para carregar códigos criados por hackers neles. Quando os arquivos de saída compilados são copiados e iniciados em um determinado sistema, os dados contaminados iniciarão o conta-gotas relevante como parte da sequência de inicialização. O código backdroor será iniciado, lançará várias ações perigosas de malware:
- Infecção de arquivos — O código do malware garante que todos os arquivos relevantes tenham o código de vírus copiado para eles. Isso é feito para continuar a replicação da ameaça.
- Instalação persistente –O código de malware que será incorporado nos projetos Java garantirá que o mecanismo seja iniciado toda vez que o sistema for iniciado.
- Infecção Cavalo de Tróia — O código incluído incluirá a funcionalidade RAT, permitindo que os atacantes remotos tenham controle sobre os computadores infectados. Isso pode incluir roubo de arquivos e vigilância.
A análise de segurança descobriu que existem diferentes versões do Octopus Scanner tão longe. As diferentes variações são encontradas nos repositórios do GitHub. Todo código perigoso será ofuscado, dificultando a detecção. Não se sabe se os hackers modificarão o código principal para implantar o Octopus Scanner em outros componentes do sistema.