上周四,GitHub 披露称,托管在其平台上的数十个开源的 NetBeans 项目遭某恶意软件攻击,显然是供应链攻击的一部分。
3月9日,一名安全研究员注意到托管在 GitHub 上的多个仓库很可能在其所有者不知情的情况下被用作恶意软件,该恶意软件被命名为 Octopus Scanner。研究人员分析发现26个受影响的 NetBeans 项目被安装后门。该恶意软件旨在向项目文件和新建的 JAR 文件添加恶意代码。JAR 文件遭一个释放器感染,它的 payload 旨在确保持久性和远程管理工具的生成。该远程管理工具被发送给 UNIX类和 Windows 系统。该恶意软件同时阻止新项目 build 替代已遭感染的版本。当 GitHub 在3月份分析该恶意文件时发现了4个样本,而它们仅被 VirusTotal 上的少数几个反恶意软件引擎发现。检测率之后得到提升,但目前仍仅在20/60的水平。开源项目如可被 Octopus Scanner 攻击的项目可被克隆、fork 和使用,导致该恶意软件得到更广范围的传播。研究人员指出,“由于受感染的用户主要是开发人员,因此它所获得的权限是攻击者感兴趣的,因为这些权限可被用于访问其它项目、生产环境、数据库密码和其它重要资产。还有很大可能导致权限提升的后果,而这是多数情况下攻击者的一个核心目标。”该恶意软件能够攻击 NetBeans 项目耐人寻味,因为还存在其它更流行的 Java IDE。GitHub 指出,“如果恶意软件开发人员专门为 NetBeans 项目部署,那么意味着这要么是针对性攻击,要么已经在 build 系统上实现该恶意软件,这些系统包括 Make、MsBuild、Gradle 等,而且它的传播可能未引起人们的注意。”GitHub 指出已经提供了多个功能,助力维护该开源软件供应链的完整性和安全性,而且承诺将继续做出改进。GitHub 向开发人员发出警告称,上个月他们的账户可能因遭受复杂的钓鱼攻击活动而受陷。
https://www.securityweek.com/netbeans-projects-github-targeted-apparent-supply-chain-attack
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~