GitHub發現了一種惡意軟體稱為Octopus Scanner,主要針對開發人員,通過其系統上受感染的存儲庫傳播,可遠程控制用戶計算機。
該惡意軟體針對Apache NetBeans,後者是用於編寫Java軟體的集成開發環境。GitHub Security Labs團隊在編寫攻擊日誌時,解釋了該惡意軟體如何潛入上傳到其站點的原始碼存儲庫中,當開發人員下載使用受感染的存儲庫並創建軟體程序時激活。
繼3月9日安全研究人員的提示後,微軟擁有的站點對該軟體進行了分析,以了解其工作方式。
GitHub是基於Git的在線服務,Git是Linux創造者Linus Torvalds開發的代碼版本控制系統。Git使開發人員可以在其軟體開發項目中拍攝文件快照,從而使他們能夠在以後還原更改或創建項目的不同分支以供不同的人使用。GitHub允許他們將這些存儲庫的副本「推送」到其在線服務,以便其他開發人員也可以下載(克隆)並對其進行處理。
這是Octopus Scanner如何發揮其神秘效果的方法。開發人員從受該軟體感染的存儲庫中下載項目並進行構建,這意味著使用原始碼來創建工作程序。這樣構建過程會激活惡意軟體。Octopus Scanner掃描他們的計算機,看他們是否安裝了NetBeans IDE。如果沒有,則不會採取進一步的措施。但是,如果這樣做的話,它會通過一個投遞器感染構建的文件,該投遞器會傳遞最終的有效負載:一個遠程訪問木馬(RAT),使作案者可以控制用戶的計算機。該惡意軟體還嘗試阻止任何新項目構建來替換受感染的項目,從而將其自身保存在受感染的系統上。
Octopus Scanner不僅會感染內置文件。GitHub在其掃描中發現的大多數變體也感染了項目的原始碼,這意味著鏡像到遠程存儲庫的任何其他新感染的項目都將在GitHub上進一步傳播惡意軟體。
GitHub安全實驗室掃描了該站點的存儲庫,發現其中包含26個惡意軟體。該團隊將發現的惡意軟體與VirusTotal上的軟體哈希進行匹配,發現檢測率很低,從而使其傳播不容易被捕獲。
GitHub定期與使用其存儲庫故意分發惡意軟體的人打交道。通常,GitHub可以關閉這些存儲庫並刪除帳戶,但是Octopus Scanner更為棘手,因為擁有存儲庫的開發人員(稱為維護者)不知道自己已被感染。他們正在運行合法項目,因此阻止這些帳戶或存儲庫可能會影響業務。GitHub也不能只刪除受感染存儲庫中的受感染文件,因為這些文件對於合法軟體項目至關重要。
GitHub表示很驚訝看到針對NetBeans的惡意軟體,因為它不是最受歡迎的Java IDE。結論是:
由於主要感染的用戶是開發人員,因此攻擊者對獲得的訪問權限非常感興趣,因為開發人員通常可以訪問其他項目,生產環境,資料庫密碼和其他重要資產。升級訪問存在巨大潛力,這在大多數情況下是攻擊者的核心目標。
我們可能永遠都不知道誰是Octopus Scanner背後的人,但是根據GitHub的研究,它早在2018年就一直在流通。這是一個偷偷摸摸的代碼示例,該代碼隱蔽且有效地針對特定人群。