龙空技术网

黑客通过GitHub上的NetBeans项目进行开源供应链攻击

墙头漫剪 103

前言:

而今朋友们对“netbeans导入jar包”可能比较关怀,兄弟们都想要剖析一些“netbeans导入jar包”的相关文章。那么小编也在网摘上汇集了一些关于“netbeans导入jar包””的相关内容,希望同学们能喜欢,咱们一起来学习一下吧!

GitHub发布了一个安全警报,警告一个恶意软件活动正在通过诱捕的NetBeans Java项目在其平台上传播。

GitHub发布了一个安全警报,警告称有一个名为Octopus Scanner的恶意软件正在通过诱骗的NetBeans Java项目在其平台上传播。

GitHub的安全团队在使用Apache NetBeans IDE(集成开发环境)管理的项目中发现了恶意代码,Apache NetBeans IDE是一个由编辑器,向导和模板组成的完整环境,可帮助用户使用Java,PHP和许多其他语言创建应用程序。

3月9日,一位安全研究人员向GitHub通知了一组GitHub托管的存储库,这些存储库正在积极地服务于恶意软件。该公司立即调查了此事件,并发现了旨在枚举NetBeans项目和将其后门的恶意软件,“该恶意软件使用构建过程及其产生的工件来传播自身。”

这种情况与以前滥用平台的不同之处在于,存储库的所有者知道他们正在将后门代码提交到其存储库中。

“ GitHub的安全事件响应团队(SIRT)从安全研究人员JJ那里收到了有关一组存储库的初步通知,该存储库用于为受恶意软件感染的开源项目提供服务。”阅读Github发表的帖子。

这份报告是不同的。存储库的所有者完全不知道他们将后门代码提交到存储库中。”

章鱼扫描仪可识别NetBeans项目文件,并将恶意有效载荷嵌入项目文件和构建JAR文件中。

以下是章鱼扫描仪活动的简要说明:

识别用户的NetBeans目录

枚举NetBeans目录中的所有项目

复制恶意负载

文件,以确保每次构建NetBeans项目时都执行恶意有效负载如果恶意负载是Octopus Scanner本身的一个实例,则新建的JAR文件也会被感染。

专家发现了由Octopus Scanner恶意软件进行后门操作并提供后门代码的26个开源项目。章鱼扫描仪运动不是最近的,它已经持续了多年。

专家报告称,最古老的恶意软件样本已于2018年8月上传到VirusTotal。下载26个项目中的任何一个后,该恶意软件都会感染用户的本地计算机。该恶意软件会扫描受害者的工作站以查找本地NetBeans IDE安装,并尝试将其他开发人员的Java项目后门。

根据专家的说法,Octopus Scanner是一种多平台恶意软件,可在Windows,macOS和Linux上运行,并下载远程访问木马(RAT)。“但是,如果找到了,则该恶意软件将通过以下机制进入后门NetBeans项目构建:

它确保每次构建项目时,所有生成的JAR文件都被所谓的dropper感染。删除程序是一种将某些内容“删除”到文件系统以执行的机制。在执行时,放置器有效负载确保了本地系统的持久性,随后将产生一个远程管理工具(RAT),该工具可连接到一组C2服务器。

它试图阻止任何新的项目构建替换受感染的构建,以确保其恶意构建工件仍然存在。”

该活动的最终目标是在从事敏感项目的开发人员的计算机上提供RAT,以窃取敏感信息。

GitHub总结道:“有趣的是,这种恶意软件攻击了NetBeans构建过程,特别是因为它不是当今使用的最常见的Java IDE。”

“如果恶意软件开发人员花时间专门针对NetBeans实施此恶意软件,则意味着它可能是有针对性的攻击,或者他们可能已经针对诸如Make,MsBuild,Gradle等构建系统实施了该恶意软件,并且可能没有引起注意,”

“虽然感染构建过程当然不是一个新主意,但看到它在野外积极部署和使用肯定是令人不安的趋势。”

标签: #netbeans导入jar包