Github發(fā)現(xiàn)"Octopus Scanner"惡意軟件，可遠程控制用戶計算機

GitHub發(fā)現(xiàn)了一種惡意軟件稱為Octopus Scanner，主要針對開發(fā)人員，通過其系統(tǒng)上受感染的存儲庫傳播，可遠程控制用戶計算機。

該惡意軟件針對Apache NetBeans，后者是用于編寫Java軟件的集成開發(fā)環(huán)境。GitHub Security Labs團隊在編寫攻擊日志時，解釋了該惡意軟件如何潛入上傳到其站點的源代碼存儲庫中，當(dāng)開發(fā)人員下載使用受感染的存儲庫并創(chuàng)建軟件程序時激活。

繼3月9日安全研究人員的提示后，微軟擁有的站點對該軟件進行了分析，以了解其工作方式。

GitHub是基于Git的在線服務(wù)，Git是Linux創(chuàng)造者Linus Torvalds開發(fā)的代碼版本控制系統(tǒng)。Git使開發(fā)人員可以在其軟件開發(fā)項目中拍攝文件快照，從而使他們能夠在以后還原更改或創(chuàng)建項目的不同分支以供不同的人使用。GitHub允許他們將這些存儲庫的副本“推送”到其在線服務(wù)，以便其他開發(fā)人員也可以下載（克?。┎ζ溥M行處理。

這是Octopus Scanner如何發(fā)揮其神秘效果的方法。開發(fā)人員從受該軟件感染的存儲庫中下載項目并進行構(gòu)建，這意味著使用源代碼來創(chuàng)建工作程序。這樣構(gòu)建過程會激活惡意軟件。Octopus Scanner掃描他們的計算機，看他們是否安裝了NetBeans IDE。如果沒有，則不會采取進一步的措施。但是，如果這樣做的話，它會通過一個投遞器感染構(gòu)建的文件，該投遞器會傳遞最終的有效負載：一個遠程訪問木馬（RAT），使作案者可以控制用戶的計算機。該惡意軟件還嘗試阻止任何新項目構(gòu)建來替換受感染的項目，從而將其自身保存在受感染的系統(tǒng)上。

Octopus Scanner不僅會感染內(nèi)置文件。GitHub在其掃描中發(fā)現(xiàn)的大多數(shù)變體也感染了項目的源代碼，這意味著鏡像到遠程存儲庫的任何其他新感染的項目都將在GitHub上進一步傳播惡意軟件。

GitHub安全實驗室掃描了該站點的存儲庫，發(fā)現(xiàn)其中包含26個惡意軟件。該團隊將發(fā)現(xiàn)的惡意軟件與VirusTotal上的軟件哈希進行匹配，發(fā)現(xiàn)檢測率很低，從而使其傳播不容易被捕獲。

GitHub定期與使用其存儲庫故意分發(fā)惡意軟件的人打交道。通常，GitHub可以關(guān)閉這些存儲庫并刪除帳戶，但是Octopus Scanner更為棘手，因為擁有存儲庫的開發(fā)人員（稱為維護者）不知道自己已被感染。他們正在運行合法項目，因此阻止這些帳戶或存儲庫可能會影響業(yè)務(wù)。GitHub也不能只刪除受感染存儲庫中的受感染文件，因為這些文件對于合法軟件項目至關(guān)重要。

GitHub表示很驚訝看到針對NetBeans的惡意軟件，因為它不是最受歡迎的Java IDE。結(jié)論是：

由于主要感染的用戶是開發(fā)人員，因此攻擊者對獲得的訪問權(quán)限非常感興趣，因為開發(fā)人員通常可以訪問其他項目，生產(chǎn)環(huán)境，數(shù)據(jù)庫密碼和其他重要資產(chǎn)。升級訪問存在巨大潛力，這在大多數(shù)情況下是攻擊者的核心目標。

我們可能永遠都不知道誰是Octopus Scanner背后的人，但是根據(jù)GitHub的研究，它早在2018年就一直在流通。這是一個偷偷摸摸的代碼示例，該代碼隱蔽且有效地針對特定人群。