Le malware Octopus Scanner a infecté 26 dépôts GitHub

Le malware Octopus Scanner, qui cible l’environnement de développement intégré Java Apache NetBeans (IDE), a été incorporé dans au moins 26 dépôts de code source GitHub, selon les chercheurs. Le logiciel malveillant attend le bon moment pour prendre le contrôle des machines des développeurs.

Une équipe de GitHub Security Labs, agissant après avoir reçu un tuyau de la part d’un hacker nommé «JJ», a découvert que Octopus Scanner se cache dans les bases de code open source hébergées sur GitHub, attendant que les développeurs téléchargent un projet à partir d’un dépôt infecté. . Une fois qu’un développeur tombe dans le piège, Octopus Scanner se déploie, analysant d’abord l’ordinateur du développeur pour vérifier la présence de NetBeans.

octopus scanner github

NetBeans est un IDE quelque peu obscur, il propose des composants de développement modulaires que les développeurs peuvent assembler pour créer des applications de bureau, mobiles et Web écrites en Java, ainsi que des applications HTML5, JavaScript et CSS.

“Ce qui est intéressant c’est que Octopus Scanner attaque spécifiquement le processus de construction de NetBeans car ce n’est pas l’IDE Java le plus utilisé aujourd’hui”, ont noté les chercheurs de GitHub, dans un article. «Si les développeurs de logiciels malveillants ont pris le temps de mettre en œuvre ce logiciel malveillant spécifiquement pour NetBeans, cela signifie qu’il pourrait s’agir d’une attaque ciblée, ou qu’ils ont peut-être déjà implémenté le logiciel malveillant pour des systèmes de construction tels que Make, MsBuild, Gradle et d’autres, et il peut se propager sans se faire détecter. “

Comment fonctionne Octopus Scanner?

Si Octopus Scanner détecte NetBeans, il procède à l’installation d’un dropper, qui à son tour récupère et exécute un cheval de Troie d’accès à distance (RAT), offrant ainsi aux attaquants un contrôle total sur la machine cible. Ensuite, pour plus de persistance, le logiciel malveillant bloque les remplacements et les nouvelles versions de projet, afin que le code infecté ne soit pas remplacé par une mise à jour ou des modifications. »

«Étant donné que les principaux utilisateurs infectés sont des développeurs, l’accès obtenu est d’un grand intérêt pour les attaquants, car les développeurs ont généralement accès à des projets, des environnements de production, des mots de passe de base de données et d’autres actifs critiques», a écrit l’équipe de GitHub. «Il existe un énorme potentiel d’élévation de l’accès, ce qui est l’objectif principal des attaquants dans la plupart des cas.

En d’autres termes, en infectant la chaîne d’approvisionnement open source de cette manière, le malware peut se propager à grande échelle.

“Nous avons vu plus de 20 tentatives d’injection de code malveillant dans des projets logiciels open source, mais il s’agit d’une nouvelle forme d’attaque”, a-t-il expliqué. «Cette attaque infecte les outils de développement qui infectent par la suite tous les projets sur lesquels ils travaillent. C’est la saison ouverte sur l’open source depuis plusieurs années, les développeurs sont en première ligne et une nouvelle arme est arrivée sur le champ de bataille. “

github octopus scanner

Au total, 26 dépôts de code source contenant le malware ont été trouvés, ce dernier, selon l’équipe de GitHub, a un faible taux de détection sur VirusTotal. Ils ont déterminé que Octopus Scanner était actif sur GitHub depuis 2018.

Octopus Scanner infecte les projets légitimes, y compris les fichiers qui fournissent des dépendances aux éléments principaux du code d’un dépôt. En tant que tel, il n’est pas possible de simplement bloquer ou supprimer les dépôts ou les fichiers infectés, le nettoyage peut donc être laborieux.

“Une construction de projet NetBeans se compose de plusieurs étapes, mais le malware Octopus Scanner ne s’intéresse qu’aux tâches pré-jar et post-jar”, ont expliqué les chercheurs de GitHub. «Les tâches pré-jar fournissent des hooks dans le build au point où toutes les classes Java sont compilées mais avant d’être zippées dans un artefact JAR. Les tâches post-jar fournissent des hooks dans la construction au point où le JAR a été réellement créé. »

En outre, le fait qu’il s’intéresse aux dépôts open source signifie que le véritable domaine d’activité d’Octopus Scanner pourrait être difficile à évaluer, car divers morceaux de code infectés peuvent être utilisés dans un nombre incalculable de projets et d’applications.

“Cela donne à Octopus Scanner un moyen de transmission efficace puisque les projets affectés seront vraisemblablement clonés, bifurqués et utilisés sur de nombreux systèmes différents”, selon les chercheurs de GitHub. «Les artefacts réels de ces versions peuvent se propager encore plus d’une manière déconnectée du processus de génération d’origine et plus difficile à retrouver après coup.»

Les modules de code tiers sont devenus une nécessité commerciale, alors que les organisations se précipitent vers la transformation numérique. Lorsque les organisations utilisent un module de code tiers, cela signifie qu’elles font confiance au parti tiers pour ne pas être malveillant et pour prioriser la sécurité. Malheureusement, quelle que soit la confiance accordée, nous rencontrons toujours des activités malveillantes dans le monde de l’open source. Nous continuons à voir diverses activités malveillantes qui ciblent les développeurs qui utilisent des packages, impliquant souvent des portes dérobées cachées en tant que dépendances dans des projets légitimes (tels que les getcookies), le typosquattage, ainsi que le ciblage du responsable du package (comme eslint-scope).

Si cet article vous a plu, jetez un œil à notre article précédent.