El equipo de GitHub Security Lab advirtió sobre una campaña de malware que se ha extendido en GitHub a través de proyectos Java comprometidos.
Investigaciones posteriores mostraron que el malware, denominado Octopus Scanner, es capaz de identificar los archivos del proyecto NetBeans e incrustar cargas maliciosas tanto en los archivos del proyecto como en los archivos JAR.
A continuación se muestra una descripción de alto nivel de la operación de Octopus Scanner:
- Identificar el directorio NetBeans del usuario
- Enumerar todos los proyectos en el directorio de NetBeans
- Copiar la carga maliciosa cache.dat en nbproject / cache.dat
- Modificar el archivo nbproject / build-impl.xml para asegurarse de que la carga maliciosa se ejecuta cada vez que se construye el proyecto NetBeans
- Si la carga maliciosa es una instancia del Octopus Scanner, el archivo JAR recién creado también está infectado.
En total se encontró que 26 proyectos de código abierto que fueron respaldados por este malware y que estaban sirviendo activamente el código retroactivo, sin conocimiento de los propietarios de los proyectos afectados.
«Dado que los usuarios con infección primaria son desarrolladores, el acceso que se obtiene es de gran interés para los atacantes, ya que los desarrolladores generalmente tienen acceso a proyectos adicionales, entornos de producción, contraseñas de bases de datos y otros activos críticos. Existe un enorme potencial para la escalada de acceso, que es un objetivo central del atacante en la mayoría de los casos.» indicó el equipo de GitHub Security Lab.
Los investigadores de GitHub no excluyen que la actividad maliciosa se limite específicamente para NetBeans, lo que significa que ya podrían haber otras variantes del malware para sistemas de compilación basado en Make, MsBuild, Gradle y otros sistemas.
Para más información:
https://securitylab.github.com/research/octopus-scanner-malware-open-source-supply-chain
https://threatpost.com/octopus-scanner-tentacles-github-repositories/156204/
https://www.seguridadyfirewall.cl/2020/06/el-malware-octopus-scanner-compromete.html