GitHub 安全博客發(fā)布了一則通知，警告用戶目前正有一種新的惡意軟件在攻擊 Java 項(xiàng)目。據(jù)了解，這是一個(gè)針對 Apache NetBeans IDE 項(xiàng)目的開源供應(yīng)鏈攻擊，GitHub 安全團(tuán)隊(duì)將其稱為 Octopus Scanner。一旦感染，惡意軟件會(huì)尋找用戶開發(fā)系統(tǒng)上的 NetBeans 項(xiàng)目，然后將惡意負(fù)載嵌入到項(xiàng)目文件中，使得每次項(xiàng)目構(gòu)建都會(huì)執(zhí)行惡意負(fù)載。

3 月 9 日，GitHub 收到了安全研究員 JJ 發(fā)來的警告通知：“我發(fā)現(xiàn)了一組感染了惡意程序 Octopus Scanner 的開源庫?！彪S后，GitHub 開始自查，在站點(diǎn)上共發(fā)現(xiàn)了 26 個(gè)包含 Octopus Scanner 惡意軟件的存儲(chǔ)庫。

據(jù) GitHub 稱：“當(dāng)用戶下載了這 26 個(gè)存儲(chǔ)庫中的任何一個(gè)時(shí)，該惡意軟件就會(huì)像自傳播病毒一樣，感染本地計(jì)算機(jī)，并掃描用戶的工作站，查看是否有本地 NetBeans IDE 安裝，如果有，會(huì)繼續(xù)深入影響計(jì)算機(jī)中的其他 Java 項(xiàng)目?！?

安全研究員 JJ 表示，如果發(fā)現(xiàn)了 NetBeans IDE，Octopus Scanner 惡意軟件會(huì)通過以下兩個(gè)步驟繼續(xù)進(jìn)行 NetBeans 項(xiàng)目的后門構(gòu)建：

每次構(gòu)建項(xiàng)目時(shí)，產(chǎn)生的 JAR 文件都會(huì)被 dropper 感染。執(zhí)行時(shí)，dropper 有效負(fù)載會(huì)確保本地系統(tǒng)持久性，并產(chǎn)生一個(gè)遠(yuǎn)程管理工具(RAT)，連接到 C2 服務(wù)器。

它會(huì)阻止新項(xiàng)目構(gòu)建來替換受感染的構(gòu)建，以確保惡意構(gòu)建項(xiàng)目一直存在。

Octopus Scanner 的感染過程

Octopus Scanner 惡意軟件可以在 Windows、Linux 和 macOS 上運(yùn)行，能夠識(shí)別 NetBeans 項(xiàng)目文件，并將惡意有效負(fù)載嵌入項(xiàng)目文件和構(gòu)建 JAR 文件中。

安全研究員 JJ 發(fā)布了 Octopus Scanner 惡意軟件的具體攻擊過程：

-識(shí)別用戶的 NetBeans 目錄

-枚舉 NetBeans 目錄中的所有項(xiàng)目

-將惡意負(fù)載復(fù)制 cache.dat 到 nbproject/cache.dat

-修改 nbproject/build-impl.xml 文件以確保每次構(gòu)建 NetBeans 項(xiàng)目時(shí)都執(zhí)行惡意有效負(fù)載

-如果惡意負(fù)載本身是 Octopus Scanner 的一個(gè)實(shí)例，則新建的 JAR 文件也會(huì)被感染。

據(jù)了解，Octopus Scanner 感染計(jì)算機(jī)的最后一步是下載一個(gè)遠(yuǎn)程訪問木馬，這樣攻擊者就可以在用戶的計(jì)算機(jī)中搜集敏感信息。

需要注意的是，Octopus Scanner 在感染過程中可能會(huì)發(fā)生“變異”。雖然 GitHub 目前只能訪問一個(gè) Octopus Scanner 樣本，但是在受感染的存儲(chǔ)庫中發(fā)現(xiàn)了四個(gè)不同版本的 NetBeans 感染項(xiàng)目，其中三個(gè)都是影響下游系統(tǒng)，例如，直接在受感染的存儲(chǔ)庫中進(jìn)行構(gòu)建，或者是使用受感染的構(gòu)建工具在下游系統(tǒng)中生成了受感染的工具，逐步形成“套娃”傳播。另外一個(gè)“變體”是執(zhí)行本地系統(tǒng)感染，但不影響構(gòu)建工具。

攻擊者的目的是什么?攻擊者的真正目的可能不是要影響 Java 項(xiàng)目，而是想要在開發(fā)敏感項(xiàng)目或主流軟件開發(fā)公司內(nèi)部人員的計(jì)算機(jī)上“留一手”，通過 RAT 病毒竊取到即將發(fā)布的工具、企業(yè)級軟件及閉源軟件的敏感信息。

GitHub 表示：“Octopus Scanner 惡意軟件已經(jīng)運(yùn)行多年了，最早可以追溯到 2018 年 8 月，當(dāng)時(shí)是上傳到了 VirusTotal web scanner 上。截止到現(xiàn)在，Octopus Scanner 一直沒有被有效阻止，雖然這次只在 GitHub 的 26 個(gè)存儲(chǔ)庫中發(fā)現(xiàn)了 Octopus Scanner ，但是我們相信，在過去的兩年中，應(yīng)該有更多的存儲(chǔ)庫被感染了。”

除了 NetBeans，其它 IDE 可能也會(huì)受影響

GitHub 安全團(tuán)隊(duì)在一份報(bào)告中稱：“Octopus Scanner 惡意軟件主要攻擊的是 NetBeans 構(gòu)建過程，但其實(shí) NetBeans 并不是 Java 項(xiàng)目最常用的 IDE?！?

由此，GitHub 猜測，如果攻擊者專門花時(shí)間開發(fā)了針對 NetBeans 的惡意軟件，那么就意味著這可能是有針對性的攻擊，也許他們針對 Make，MsBuild，Gradle 等構(gòu)建系統(tǒng)也實(shí)施了相同的惡意攻擊，只是現(xiàn)在還沒有引起注意。

更令人不安的是，Octopus Scanner 很難被檢測出來，GitHub 向 VirusTotal 上傳了樣本，60 個(gè)殺毒軟件只有 4 個(gè)能將其檢測出來。惡意軟件偽裝成了 ocs.txt 文件，但實(shí)際上它是一個(gè) JAR(Java Archive)文件。

參考閱讀：

https://securitylab.github.com/research/octopus-scanner-malware-open-source-supply-chain