Desenvolvedores GitHub emitiram um aviso sobre o aparecimento do novo malware Octopus Scanner, que é distribuído no site por meio de projetos Java maliciosos.
Octopus Scanner foi descoberto em projetos gerenciados com o IDE Apache NetBeans, uma ferramenta usada para escrever e compilar aplicativos Java.
Depois de uma dica recebida em março de pesquisadores de segurança da informação, os desenvolvedores encontraram 26 repositórios contendo malware. A lista de repositórios para o aviso, infelizmente, não está anexado.
“Quando os usuários baixaram qualquer um desses 26 projetos, o malware se comportou como um worm de autopropagação e continuou a infectar computadores locais. Octopus Scanner escaneou a estação de trabalho em busca de uma instalação local do NetBeans IDE e a implementou em outros projetos Java vítimas”, – explique os representantes do GitHub.
Malware foi adaptado para funcionar com Windows, macOS e Linux, e finalmente baixei o Trojan de acesso remoto (RATO), permitindo que seus operadores vasculhem arquivos no computador da vítima em busca de informações confidenciais.
GitHub relata que a campanha do Octopus Scanner durou vários anos. A amostra mais antiga de malware foi enviada ao VirusTotal em agosto 2018. Embora apenas 26 repositórios com vestígios do Octopus Scanner foram encontrados no GitHub, especialistas acreditam que nos últimos dois anos, muito mais projetos foram infectados.
Aparentemente, o verdadeiro propósito desses ataques era colocar o RAT nas máquinas de pessoas que trabalham em projetos importantes ou em grandes empresas que desenvolvem software. Isso permitiu que invasores roubassem informações confidenciais sobre os próximos lançamentos, código-fonte proprietário e até backdoors, incorporar em software corporativo ou outro software de código fechado.
"Interessantemente, este programa malicioso atacou especificamente o NetBeans, porque hoje não é o IDE Java mais comum. Se os criadores do malware gastaram tempo implementando esse malware especificamente no NetBeans, isso pode significar que foi um ataque direcionado, ou provavelmente já tinham implementações de malware para sistemas de construção como Make, MsBuild, Gradle, e assim por diante, e pode se espalhar despercebido”, - escreva para especialistas do GitHub.
Deixe-me lembrá-lo de que apenas recentemente o serviço web de representantes do GitHub alertou os usuários sobre um ataque massivo de phishing chamado peixe-serra.