Разработчики GitHub выпустили предупреждение о появлении новой малвари Octopus Scanner, которая распространяется по сайту через вредоносные Java-проекты.

Octopus Scanner был обнаружен в проектах, управляемых с помощью Apache NetBeans IDE, инструмента, который используется для написания и компиляции Java-приложений. После наводки, полученной в марте от ИБ-исследователи, разработчики нашли 26 репозиториев, содержащих малварь. Список репозиториев к предупреждению, к сожалению, не прилагается.

Представители GitHub объясняют, что когда пользователи скачивали любой из этих 26 проектов, малварь вела себя как самораспространяющийся червь и продолжала заражать локальные компьютеры. Octopus Scanner сканировал рабочую станцию ​​в поисках локальной установки IDE NetBeans и внедрялся в другие Java-проекты жертвы.

Малварь была приспособлена для работы с Windows, macOS и Linux, и в конечном счете загружала троян удаленного доступа (RAT), позволяя своим операторам покопаться в файлах на компьютере жертвы в поисках конфиденциальной информации.

GitHub сообщает, что кампания Octopus Scanner длилась несколько лет. Самый старый образец малвари был загружен в VirusTotal в августе 2018 года. И хотя на GitHub было обнаружено только 26 репозиториев со следами Octopus Scanner, эксперты полагают, что за последние два года было заражено гораздо больше проектов.

Судя по всему, настоящей целью этих атак было размещение RAT на машинах людей, работающих над важными проектами или в крупных компаниях, разрабатывающих ПО. Это позволяло атакующим похищать конфиденциальную информацию о грядущих релизах, проприетарном исходном коде и даже внедрять бэкдоры в корпоративное или другое ПО с закрытым исходным кодом.

«Интересно, что эта вредоносная программа специально атаковала NetBeans, поскольку на сегодня это не самая распространенная Java IDE.

Если создатели малвари потратили время на имплементацию этой малвари именно под NetBeans, это может означать, что либо это была целевая атака, либо у них, вероятно, уже были имплементации вредоносного ПО для таких билд-систем, как Make, MsBuild, Gradle и так далее, и оно могло распространяться незаметно», — пишут специалисты GitHub.

Источник: xakep