26 jun. 2020

Malware Octopus Scanner utiliza GitHub como medio de distribución

El malware denominado Octopus Scanner por investigadores del Laboratorio de seguridad de GitHub compromete las computadoras de los desarrolladores al infectar sus repositorios NetBeans después de plantar cargas maliciosas en binarios JAR, archivos de proyecto y dependencias, y luego se extendió a los sistemas de desarrollo posteriores.
Octopus Scanner ha estado en la plataforma durante varias semanas y fue creado por un grupo de delincuentes informáticos desconocido. El equipo de seguridad de GitHub descubrió el malware durante un análisis de los proyectos alojados. Se considera que Octopus Scanner es una amenaza peligrosa que está programada para implementarse principalmente a través del entorno de desarrollo Apache NetBeans. Todo el código peligroso se ofusca, lo que hace que sea más difícil detectarlo.

Este malware se ha colocado en varios repositorios y el objetivo es utilizar una táctica basada en el principio de que los desarrolladores aprovechan el código publicado e lo integran en sus propios proyectos. El énfasis estaba en los usuarios de Apache Netbeans, una de las herramientas más populares para la creación de aplicaciones Java. Un investigador de seguridad notificó al equipo de seguridad de GitHub de un código sospechoso que provocó una investigación que condujo al descubrimiento de la amenaza.
Se descubrió que muchos repositorios estaban infiltrados con este código, luego de una revisión adicional los propietarios no sabían que su código había sido modificado para incluir el malware.

Todo esto muestra que es muy difícil rastrear desde dónde ocurrió la infección inicial. Cuando se carga un repositorio que contiene el código de malware en el software NetBeans, el malware se iniciará automáticamente. Las primeras acciones estarán relacionadas con el mecanismo de incrustar puertas traseras en los proyectos que se abren dentro del software de desarrollo.

Cuando los archivos de salida compilados se copian e inician en un sistema determinado, se inician varias acciones peligrosas de malware:
  • Infección de archivos: el código de malware se asegurará de que todos los archivos relevantes tengan copiado el código del malware. Esto se hace para continuar la replicación de la amenaza.
  • Instalación persistente: el código de malware que se incrustará en los proyectos de Java garantizará que el motor se inicie cada vez que se inicie el sistema.
  • RAT: el código incluido tiene una funcionalidad RAT que permite a los atacantes remotos tener control sobre las computadoras infectadas. Esto puede incluir robo de archivos y vigilancia.
El análisis de seguridad descubrió que hay diferentes versiones del Octopus Scanner y las diferentes variaciones se encuentran dentro de los repositorios de GitHub.

Fuente: BC

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!