The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Вредоносное ПО, поражающее NetBeans для внедрения бэкдоров в собираемые проекты

29.05.2020 22:18

GitHub выявил вредоносное ПО, поражающее проекты в интегрированной среде разработки NetBeans и использующее процесс сборки для своего распространения. Расследование показало, что при помощи рассматриваемого вредоносного ПО, которому присвоено имя Octopus Scanner, были скрыто интегрированы бэкдоры в 26 открытых проектов, имеющих репозитории на GitHub. Первые следы проявления Octopus Scanner датированы августом 2018 года.

Вредоносное ПО способно выявлять файлы с проектами NetBeans и добавлять свой код в файлы проекта и собираемые JAR-файлы. Алгоритм работы сводится к нахождению каталога NetBeans с проектами пользователя, перебору всех проектов в данном каталоге, копированию вредоносного сценария в nbproject/cache.dat и внесению изменений в файл nbproject/build-impl.xml для вызова этого сценария при каждой сборке проекта. При сборке копия вредоносного ПО включается в результирующие файлы JAR, которые становятся источником дальнейшего распространения. Например, вредоносные файлы были размещены в репозиториях вышеупомянутых 26 открытых проектов, а также различными другими проектами при публикации сборок новых релизов.

При загрузке и запуске проекта с вредоносным JAR-файлом другим пользователем, на его системе начинался очередной цикл поиска NetBeans и внедрения вредоносного кода, что соответствует модели работы самораспространяющихся компьютерных вирусов. Кроме функциональности для самораспространения, вредоносный код также включает функции бэкдора для предоставления удалённого доступа к системе. На момент разбора инцидента управляющие бэкдором серверы (C&C) не были активны.

Всего при изучении поражённых проектов было выявлено 4 варианта инфицирования. В одном из вариантов для активации бэкдора в Linux создавался файл автозапуска "$HOME/.config/autostart/octo.desktop", а в Windows для запуска применялся запуск заданий через schtasks. Среди других создаваемых файлов:

  • $HOME/.local/share/bbauto
  • $HOME/.config/autostart/none.desktop
  • $HOME/.config/autostart/.desktop
  • $HOME/.local/share/Main.class
  • $HOME/Library/LaunchAgents/AutoUpdater.dat
  • $HOME/Library/LaunchAgents/AutoUpdater.plist
  • $HOME/Library/LaunchAgents/SoftwareSync.plist
  • $HOME/Library/LaunchAgents/Main.class

Бэкдор мог использоваться для добавления закладок в развиваемый разработчиком код, организации утечки кода проприетарных систем, кражи конфиденциальных данных и захвата учётных записей. Исследователи из GitHub не исключают, что вредоносная деятельность не ограничивается NetBeans и могут существовать другие варианты Octopus Scanner, внедряющиеся для своего распространения в процесс сборки на базе Make, MsBuild, Gradle и других систем.

Названия поражённых проектов не упоминается, но их легко можно найти через поиск в GitHub по маске "cache.dat". Среди проектов, в которых найдены следы вредоносной активности: V2Mp3Player, JavaPacman, Kosim-Framework, Punto-de-venta, 2D-Physics-Simulations, PacmanGame, GuessTheAnimal, SnakeCenterBox4, Secuencia-Numerica, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario-FR-.

  1. Главная ссылка к новости (https://securitylab.github.com...)
  2. OpenNews: Уязвимости в механизме автообновления Apache NetBeans
  3. OpenNews: Выпуск интегрированной среды разработки Apache NetBeans 11.3
  4. OpenNews: В репозитории NPM выявлен вредоносный пакет bb-builder. Выпуск NPM 6.11
  5. OpenNews: В каталоге Python-пакетов PyPI выявлены две вредоносные библиотеки
  6. OpenNews: В RubyGems выявлено 724 вредоносных пакета
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/53051-netbeans
Ключевые слова: netbeans, malware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (34) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 23:26, 29/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Грамотно, больше 2 лет не замечали. А где-нибудь всплывали результаты этой активности? Или это очередной stuxnet от анб?
     
     
  • 2.5, Урри (?), 00:45, 30/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Очередной неуловимый джо.
    А 26 открытых хелловорлдов и я один могу на гитхаб за полчаса залить.
     

  • 1.2, proninyaroslav (ok), 23:40, 29/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > организации утечки кода проприетарных систем

    Робин гуды

    > добавления закладок в развиваемый разработчиком код

    Хотя это более вероятно

     
  • 1.3, Аноним (-), 00:00, 30/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    А мистер Ш удивляется, чего это на проприетарные компилеры опенсорсники волком смотрят...
     
     
  • 2.7, WunderKatz (?), 01:40, 30/05/2020 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Это он на людях мурлыкает под Эльбрус, а ночью плачет в подушку с вышивкой бородатой антилопы gnu.
     

  • 1.4, Аноним (4), 00:33, 30/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Хаха. Вполне ожидаемо для уродской экосистемы с переусложнённой непрозрачной сборкой, и поколения IDE-обезьянок.
     
     
  • 2.6, Аноним (6), 00:55, 30/05/2020 [^] [^^] [^^^] [ответить]  
  • +11 +/
    notepad.exe-элита в треде, все в укрытие
     
  • 2.12, Урри (?), 09:06, 30/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я такую же фигню 25 лет назад в институте для паскаля наговнокодил. Тоже мне, нашли модномолодежность..
     
     
  • 3.25, Аноним (25), 10:11, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Профессор Громова подсказал? Чтоб стать человеком. )
     
  • 3.27, Аноним (27), 14:43, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    25 лет назад вы exe заражали, а не файлы проекта IDE.
     
     
  • 4.31, InuYasha (?), 16:40, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Был вирь для Борланда, который заражал все собираемые проеты. Мб только бинарники. Но это было хитро.
     

  • 1.8, Вы забыли заполнить поле Name (?), 01:47, 30/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    GitHub, а точнее MS устраняет конкурентов. Надо еще добавить, что в "vscode такого нет, переходите на vscode".

    Из новости непонятно как получить вредоносную сборку NetBeans?

     
     
  • 2.9, deeaitch (ok), 02:28, 30/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    vscode с плагинами на жабаскрипте от васянов ещё большая дыра будет. Оно как дыра и создавалось.
     
     
  • 3.22, Аноним (22), 09:05, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Vscode создавался как дорвей в ажур. Если дыры будут мешать ажуру, то их будут латать.
     
     
  • 4.29, deeaitch (ok), 21:14, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Vscode создавался как дорвей в ажур. Если дыры будут мешать ажуру, то
    > их будут латать.

    Не будут их латать, будут говорить что это фича, а растоманы будут говорить что надо всё переписать на rust при этом никто ничего делать не будет. А васяны дальше буду писать свои недоплагины конфликтующие друг с другом за место под солнцем. А вы и дальше будете жрать это Г. Ведь это лучшая в мине IDE которая никогда IDE  и не была и не будет.

     
  • 2.10, iPony129412 (?), 04:56, 30/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > GitHub, а точнее MS устраняет конкурентов

    Ну да...
    Как ударили по полуживому проекту (и то не по нему).
    Сокрушительно.

    Следующим приготовиться проекту DevCPP и Erik.

     
  • 2.15, Аноним (15), 13:32, 30/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > GitHub, а точнее MS устраняет конкурентов.

    Да ну ладно, я вон notabug.org нашел. У них юзер интерфейс берет все лучшее от гитхаба и даже в отличие от уродца гитлаба работает без JS. Прикиньте, натурально такой гитхаб опенсорсный походу :)

     
     
  • 3.16, пох. (?), 17:03, 30/05/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Да ну ладно, я вон notabug.org нашел.

    ты бы лучше шкурку от банана нашел - ее хоть с голодухи сжевать можно. Банан-то проклятая корпорация зла сожрала.

    А ты нашел шкурку для gogs. Похоже, эта великая софтина прошла мимо тебя?

    Хочу огорчить: она не умеет примерно ничего из того, для чего нужен github. Обычный костылик для подпорочек, решающих родовую травму git: неумение в авторизацию, и не более того.

    Зато на игогошечке - ровно там, где как раз самое место впихону (если уж на ruby не хватило образования)

     
  • 3.32, Аноним (32), 20:44, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Powered by gogs

    Ты правда никогда про gogs не слышал?


     
  • 2.30, Аноним (30), 14:08, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    MS Visual Studio Code: https://www.securitylab.ru/news/500348.php
    MS Visual Studio: https://yro.slashdot.org/story/16/06/10/1350245/visual-studio-2015-c-compiler-
     
  • 2.34, КО (?), 10:14, 02/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Наверно берешь проект.В проекте по зависимости подтягивается библиотечка. Библиотечка при отладке запускается и шерстит на предмет заражения твоих проектов. А их подтягивают по зависимостям кто-то еще ... У javascripterrov так для этого целый npm придумали и ссылки напрямую с гитхаба.
     

  • 1.11, Аноним (11), 08:11, 30/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Но в java же не бывает уязвимостей! Это же всё только на небезопасной сишке
     
     
  • 2.13, Alex (??), 10:18, 30/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тут жава не причём. Код внелрялся в проект при сборке через открытые файлы конфигурации и кэша.

    Если программисты уже доросли до такого уровня что понятия не имеют как их говно код превращается в рабочее приложение, то это баг уже не джавы, а мозгов.

     
     
  • 3.14, Аноним (14), 12:08, 30/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    уже доросли =(
     
  • 3.23, Аноним (22), 09:09, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На любого хитрого сеньора найдётся система сборки с лабиринтом.
     
  • 2.18, erthink (ok), 00:46, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Справедливости ради яве тут просто прилетело.

    Хотя сумма рефлексии и динамической генерации кода заставляет сильно грустить все формальные подходы доказательства "безопасности" кода ;)

     

  • 1.17, axredneck (?), 19:04, 30/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Вот и кроссплатформенные вирусы подоспели
     
  • 1.19, Аноним (19), 01:23, 31/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >flipp33r opened this issue 22 days ago
    >nobody gives a single fuck

    Вся суть "проджэктов".

     
  • 1.20, Аноним (20), 03:20, 31/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >При сборке копия вредоносного ПО включается в результирующие файлы JAR

    Простите, они что, нетбинсом джарники собирают? Не, ну...

     
     
  • 2.24, Аноним (22), 09:11, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Почему бы и нет?
     
  • 2.26, Аноним (1), 14:14, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я в эклипсе собирал. Потому что не ну а чо? Все жаба разрабы так собирают и вообще проект не мой. А в чём проблема?
     
  • 2.33, КО (?), 10:08, 02/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну для мавена такую фигню прикрутить еще проще и даже универсальнее - будет поражать и Эклипс и Нетбинс и Идею. А ежли makefile дописывать, то и gcc со шлангом подтянутся.
     

  • 1.21, Аноним (21), 06:56, 31/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А откуда оно взялось и как его можно подцепить?
     
  • 1.28, Аноним (27), 14:45, 31/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > что соответствует модели работы самораспространяющихся компьютерных вирусов

    Удивительно :-)

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру