GitHub发布了一个安全警报，警告一个恶意软件活动正在通过诱捕的NetBeans Java项目在其平台上传播。

GitHub发布了一个安全警报，警告称有一个名为Octopus Scanner的恶意软件正在通过诱骗的NetBeans Java项目在其平台上传播。

GitHub的安全团队在使用Apache NetBeans IDE（集成开发环境）管理的项目中发现了恶意代码，Apache NetBeans IDE是一个由编辑器，向导和模板组成的完整环境，可帮助用户使用Java，PHP和许多其他语言创建应用程序。

3月9日，一位安全研究人员向GitHub通知了一组GitHub托管的存储库，这些存储库正在积极地服务于恶意软件。该公司立即调查了此事件，并发现了旨在枚举NetBeans项目和将其后门的恶意软件，“该恶意软件使用构建过程及其产生的工件来传播自身。”

这种情况与以前滥用平台的不同之处在于，存储库的所有者知道他们正在将后门代码提交到其存储库中。

“ GitHub的安全事件响应团队（SIRT）从安全研究人员JJ那里收到了有关一组存储库的初步通知，该存储库用于为受恶意软件感染的开源项目提供服务。”阅读Github发表的帖子。

这份报告是不同的。存储库的所有者完全不知道他们将后门代码提交到存储库中。”

章鱼扫描仪可识别NetBeans项目文件，并将恶意有效载荷嵌入项目文件和构建JAR文件中。

以下是章鱼扫描仪活动的简要说明：

识别用户的NetBeans目录

枚举NetBeans目录中的所有项目

复制恶意负载

文件，以确保每次构建NetBeans项目时都执行恶意有效负载如果恶意负载是Octopus Scanner本身的一个实例，则新建的JAR文件也会被感染。

专家发现了由Octopus Scanner恶意软件进行后门操作并提供后门代码的26个开源项目。章鱼扫描仪运动不是最近的，它已经持续了多年。

专家报告称，最古老的恶意软件样本已于2018年8月上传到VirusTotal。下载26个项目中的任何一个后，该恶意软件都会感染用户的本地计算机。该恶意软件会扫描受害者的工作站以查找本地NetBeans IDE安装，并尝试将其他开发人员的Java项目后门。

根据专家的说法，Octopus Scanner是一种多平台恶意软件，可在Windows，macOS和Linux上运行，并下载远程访问木马（RAT）。“但是，如果找到了，则该恶意软件将通过以下机制进入后门NetBeans项目构建：

它确保每次构建项目时，所有生成的JAR文件都被所谓的dropper感染。删除程序是一种将某些内容“删除”到文件系统以执行的机制。在执行时，放置器有效负载确保了本地系统的持久性，随后将产生一个远程管理工具（RAT），该工具可连接到一组C2服务器。

它试图阻止任何新的项目构建替换受感染的构建，以确保其恶意构建工件仍然存在。”

该活动的最终目标是在从事敏感项目的开发人员的计算机上提供RAT，以窃取敏感信息。

GitHub总结道：“有趣的是，这种恶意软件攻击了NetBeans构建过程，特别是因为它不是当今使用的最常见的Java IDE。”

“如果恶意软件开发人员花时间专门针对NetBeans实施此恶意软件，则意味着它可能是有针对性的攻击，或者他们可能已经针对诸如Make，MsBuild，Gradle等构建系统实施了该恶意软件，并且可能没有引起注意，”

“虽然感染构建过程当然不是一个新主意，但看到它在野外积极部署和使用肯定是令人不安的趋势。”