八爪鱼 是java做的吗_章鱼扫描仪：Java构建工具和恶意软件

八爪鱼 是java做的吗

Alvaro Munoz最近在GitHub Security Lab网站上发布了“ Octopus扫描程序恶意软件：攻击开源供应链 ”。 我发现这篇文章很有趣，原因有很多，其中包括对Octopus Scanner恶意软件的工作原理和发现方式的详细介绍， GitHub安全事件报告团队 （ SIRT ）如何着手解决它，以及它如何影响流行Java IDE，以及GitHub如何工作以检测和解决部署在其站点上的开源软件的风险。

Muñoz称Octopus Scanner为“ OSS供应链恶意软件”，并写道GitHub托管的26个开源项目“被该恶意软件后门”。 在文章中，Muñoz详细描述了章鱼扫描仪的工作原理。 整个帖子值得一读，但以下是介绍Octopus Scanner的一些要点：

• “ Octopus Scanner恶意软件仅对“ NetBeans项目构建”中的pre-jar和post-jar任务感兴趣。
• “该恶意软件伪装成ocs.txt文件，但我们可以很容易地确定它实际上是Java存档（JAR）文件。”
• “该恶意软件还感染了项目中可用的任何JAR文件，例如依赖关系–不一定只是构建工件。”
• “ octopus.dat有效负载是实际执行NetBeans构建感染的二进制文件。”
• “ cache.dat负责对已构建的类进行后门操作，以便在执行这些类时，它们将感染基础系统。”
• Octopus Scanner旨在针对“类UNIX系统”，MacOS和Windows。

我在GitHub帖子中发现了非常详细的诊断Octopus Scanner行为的方法，非常有趣而有见地。 看到用于更好地了解Octopus Scanner行为的工具和方法特别有见识。 例如，他们使用ClassFileTransformer和“一个字节码操作库（例如Javassist或ByteBuddy来注入我们的分析代码）”到“负责解密blob的类…………实际上是在将blob加载到JVM之前”。

除了关于章鱼扫描仪如何工作以及如何被发现和研究的有趣细节之外，此GitHub帖子中的其他有趣见解还与开源构建面临的风险有关。 Muñoz写道：“感染构建工件是一种感染更多主机的方法，因为受感染的项目很可能是由其他系统构建的，并且构建工件也可能会在其他系统上加载并执行。” Muñoz补充说：“在OSS上下文中，它为恶意软件提供了一种有效的传播手段，因为受影响的项目可能会被克隆，分叉，并可能在许多不同的系统上使用。 这些构建的实际工件可能以与原始构建过程脱节的方式进一步传播，并且在事后很难追查。”

Muñoz开启了该职位，并在结尾处进行了有关此以及其他破坏开源产品及其构建的尝试的讨论。 结论中包含一个令人毛骨悚然的想法：“由于主要感染的用户是开发人员，因此攻击者对获得的访问权限非常感兴趣，因为开发人员通常可以访问其他项目，生产环境，数据库密码和其他重要资产。 升级具有巨大的潜力，这在大多数情况下是攻击者的核心目标。”

翻译自: https://www.javacodegeeks.com/2020/06/octopus-scanner-java-build-tools-and-malware.html

八爪鱼 是java做的吗