Octopus Scanner پروژه‌های NetBeans را آلوده می‌کند

گیت‌هاب هفته گذشته یک هشدار امنیتی در مورد نوعی بدافزار جدید به نام Octopus Scanner داد که از طریق پروژه‌های جاوا گسترش می‌یابد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، این بدافزار که تیم امنیتی گیت‌هاب آن را Octopus Scanner نام‌گذاری کرده‌است، در پروژه‌های ایجاد شده توسط محیط توسعه یکپارچه Apache NetBeans IDE یافت شده‌است. Apache NetBeans IDE ابزاری برای نوشتن و کامپایل کردن برنامه‌های جاوا است.

گیت‌هاب می‌گوید که پس از اطلاع یک پژوهشگر امنیتی در تاریخ ۹ مارس، در ۲۶ مخزن آپلود شده در این سایت، بدافزار Octopus Scanner را مشاهده کرده است. زمانی که کاربران هر یک از ۲۶ پروژه را دریافت کنند، بدافزار مانند یک ویروس خود منتشر شونده (self-spreading) رفتار می‌کند و رایانه‌های محلی را آلوده می‌کند. بدافزار ایستگاه کاری قربانی را برای شناسایی NetBeans IDE اسکن می‌کند و به پروژه‌های جاوا دیگر توسعه‌دهندگان راه می‌یابد.

این بدافزار که دارای قابلیت اجرا در ویندوز، سیستم‌عامل مک و لینوکس است، می‌تواند یک تروجان دسترسی از راه دور (RAT) را به عنوان آخرین مرحله از آلودگی خود بارگیری کند و به اپراتور Octopus Scanner اجازه می‌دهد تا از طریق رایانه قربانی، به جستجوی اطلاعات حساس بپردازد. گیت‌هاب می‌گوید کارزار Octopus Scanner سال‌ها ادامه داشته و قدیمی‌ترین نمونه این بدافزارها در آگوست سال ۲۰۱۸ بر روی VirusTotal بارگذاری شده است. در حالی که گفته شده تنها ۲۶ پروژه میزبان این بدافزار بوده، اما گیت‌هاب معتقد است که طی دو سال گذشته پروژه‌های بسیاری آلوده شده‌اند.

با این حال، هدف اصلی این حمله قرار دادن تروجان بر روی دستگاه‌های توسعه‌دهندگان مشغول به کار در پروژه‌های حساس یا در داخل شرکت‌های بزرگ نرم‌افزاری بوده و لزوما مسموم کردن پروژه‌های منبع‌باز جاوا هدف اصلی نبوده‌است. تروجان به مهاجمان دسترسی به اطلاعات محرمانه در مورد ابزارهای آتی، کد منبع اختصاصی یا تغییر کد را فراهم می‌کند تا بتوانند در پروژه‌ها درِ پشتی قرار دهند.

به گفته گیت‌هاب، نکته جالب در مورد این بدافزار این است که به‌طور خاص فرایند ساخت NetBeans را هدف قرار داده، در صورتی که در حال حاضر این ابزار رایج‌ترین IDE جاوا نیست. گیت‌هاب نام ۲۶ مخزن آلوده شده توسط بدافزار Octopus Scanner را منتشر نکرده‌است.