GitHub告警：惡意軟體正通過流行開源 IDE 攻擊 Java 項目

雲栖号資訊：【 點選檢視更多行業資訊

】

在這裡您可以找到不同行業的第一手的上雲資訊，還在等什麼，快來！

itHub 安全部落格釋出了一則通知，警告使用者目前正有一種新的惡意軟體在攻擊 Java 項目。據了解，這是一個針對 Apache NetBeans IDE 項目的開源供應鍊攻擊，GitHub 安全團隊将其稱為 Octopus Scanner。一旦感染，惡意軟體會尋找使用者開發系統上的 NetBeans 項目，然後将惡意負載嵌入到項目檔案中，使得每次項目建構都會執行惡意負載。

3 月 9 日，GitHub 收到了安全研究員 JJ 發來的警告通知：“我發現了一組感染了惡意程式 Octopus Scanner 的開源庫。”随後，GitHub 開始自查，在站點上共發現了 26 個包含 Octopus Scanner 惡意軟體的存儲庫。

據 GitHub 稱：“當使用者下載下傳了這 26 個存儲庫中的任何一個時，該惡意軟體就會像自傳播病毒一樣，感染本地計算機，并掃描使用者的工作站，檢視是否有本地 NetBeans IDE 安裝，如果有，會繼續深入影響計算機中的其他 Java 項目。”

安全研究員 JJ 表示，如果發現了 NetBeans IDE，Octopus Scanner 惡意軟體會通過以下兩個步驟繼續進行 NetBeans 項目的後門建構：

每次建構項目時，産生的 JAR 檔案都會被 dropper 感染。執行時，dropper 有效負載會確定本地系統持久性，并産生一個遠端管理工具（RAT），連接配接到 C2 伺服器。

它會阻止新項目建構來替換受感染的建構，以確定惡意建構項目一直存在。

1.Octopus Scanner 的感染過程

Octopus Scanner 惡意軟體可以在 Windows、Linux 和 macOS 上運作，能夠識别 NetBeans 項目檔案，并将惡意有效負載嵌入項目檔案和建構 JAR 檔案中。

安全研究員 JJ 釋出了 Octopus Scanner 惡意軟體的具體攻擊過程：

• 識别使用者的 NetBeans 目錄
• 枚舉 NetBeans 目錄中的所有項目
• 将惡意負載複制 cache.dat 到 nbproject/cache.dat
• 修改 nbproject/build-impl.xml 檔案以確定每次建構 NetBeans 項目時都執行惡意有效負載
• 如果惡意負載本身是 Octopus Scanner 的一個執行個體，則建立的 JAR 檔案也會被感染。

據了解，Octopus Scanner 感染計算機的最後一步是下載下傳一個遠端通路木馬，這樣攻擊者就可以在使用者的計算機中搜集敏感資訊。

需要注意的是，Octopus Scanner 在感染過程中可能會發生“變異”。雖然 GitHub 目前隻能通路一個 Octopus Scanner 樣本，但是在受感染的存儲庫中發現了四個不同版本的 NetBeans 感染項目，其中三個都是影響下遊系統，例如，直接在受感染的存儲庫中進行建構，或者是使用受感染的建構工具在下遊系統中生成了受感染的工具，逐漸形成“套娃”傳播。另外一個“變體”是執行本地系統感染，但不影響建構工具。

攻擊者的目的是什麼？攻擊者的真正目的可能不是要影響 Java 項目，而是想要在開發敏感項目或主流軟體開發公司内部人員的計算機上“留一手”，通過 RAT 病毒竊取到即将釋出的工具、企業級軟體及閉源軟體的敏感資訊。

GitHub 表示：“Octopus Scanner 惡意軟體已經運作多年了，最早可以追溯到 2018 年 8 月，當時是上傳到了 VirusTotal web scanner 上。截止到現在，Octopus Scanner 一直沒有被有效阻止，雖然這次隻在 GitHub 的 26 個存儲庫中發現了 Octopus Scanner ，但是我們相信，在過去的兩年中，應該有更多的存儲庫被感染了。”

2.除了 NetBeans，其它 IDE 可能也會受影響

GitHub 安全團隊在一份報告中稱：“Octopus Scanner 惡意軟體主要攻擊的是 NetBeans 建構過程，但其實 NetBeans 并不是 Java 項目最常用的 IDE。”

由此，GitHub 猜測，如果攻擊者專門花時間開發了針對 NetBeans 的惡意軟體，那麼就意味着這可能是有針對性的攻擊，也許他們針對 Make，MsBuild，Gradle 等建構系統也實施了相同的惡意攻擊，隻是現在還沒有引起注意。

更令人不安的是，Octopus Scanner 很難被檢測出來，GitHub 向 VirusTotal 上傳了樣本，60 個防毒軟體隻有 4 個能将其檢測出來。惡意軟體僞裝成了 ocs.txt 檔案，但實際上它是一個 JAR（Java Archive）檔案。

【雲栖号線上課堂】每天都有産品技術專家分享！

課程位址：

https://yqh.aliyun.com/zhibo

立即加入社群，與專家面對面，及時了解課程最新動态！

【雲栖号線上課堂 社群】

https://c.tb.cn/F3.Z8gvnK

原文釋出時間：2020-06-02

本文作者： 田曉旭

本文來自：“

InfoQ

”，了解相關資訊可以關注“

”