El Equipo de Respuesta a Incidentes de Seguridad (SIRT) de GitHub advirtió sobre una campaña de malware que se ha extendido en GitHub a través de proyectos Java comprometidos. La existencia de la campaña salió a la luz a principios de marzo, cuando un investigador de seguridad se contactó con el equipo sobre un conjunto de repositorios de GitHub que descubrieron que habían estado sirviendo malware activamente.
Investigaciones posteriores mostraron que el malware, denominado Octopus Scanner, está diseñado para comprometer los proyectos de NetBeans. El equipo encontró 26 proyectos de código abierto que fueron respaldados por este malware y que estaban sirviendo activamente el código retroactivo, y los propietarios de los proyectos afectados no lo sabían por completo.
Octopus Scanner identifica los archivos de proyecto de NetBeans e incorpora carga maliciosa tanto en los archivos de proyecto como en los archivos JAR de compilación.
A continuación se muestra una descripción de alto nivel de la operación del escáner Octopus:
- Identificar el directorio NetBeans del usuario
- Enumere todos los proyectos en el directorio de NetBeans
- Copie la carga maliciosa cache.dat en nbproject / cache.dat
- Modifique el archivo nbproject / build-impl.xml para asegurarse de que la carga maliciosa se ejecuta cada vez que se construye el proyecto NetBeans
- Si la carga maliciosa es una instancia del escáner Octopus, el archivo JAR recién creado también está infectado.
Parece que la campaña de malware Octopus Scanner ha estado ocurriendo durante años. Los investigadores dijeron que la muestra más antigua del malware se cargó en VirusTotal en agosto de 2018.
"Aunque los servidores C2 de malware no parecían estar activos en el momento del análisis, los repositorios afectados aún representaban un riesgo para los usuarios de GitHub que podrían potencialmente clonar y construir estos proyectos", dijo el equipo de seguridad.
