本文分析了一起针对Java开发者的供应链攻击事件,攻击者通过向开源项目提交恶意代码,感染开发者的NetBeans IDE,使得在开发过程中创建的JAR文件被植入恶意软件加载器。恶意软件会释放远程管理工具(RAT),并在系统中执行各种操作。事件涉及多个受影响的开源项目,建议开发者检查环境并加强代码审计。
阅读:
1,446
前言
2020年5月28日,Github安全团队发表了文章称Github上存在一组代码仓库正在服务于感染了恶意代码的开源项目(https://securitylab.github.com/research/octopus-scanner-malware-open-source-supply-chain),根据实际文章内容理解,攻击者通过提交恶意代码至开源项目,并被其他开源项目所引用。这些存在恶意代码的开源项目被开发人员使用后,会在开发人员机器中寻找NetBeans IDE,如果开发人员的机器中存在该IDE,则对NetBeans构建的所有JAR文件进行感染,植入恶意软件加载器,以确保项目运行时会释放出一个远程管理工具(RAT)。
换句话说,本次供应链攻击针对的是经常使用开源项目的开发人员。通过感染开发人员使用的IDE(集成开发环境),以达到在开发人员开发的所有项目植入有恶意软件的目的。目前来看,该攻击者只针对JAVA项目。
事件分析及恶意软件分析
事件关键信息
根据事件披露的情况,我们整理了该次供应链攻击事件的时间线:
通过对恶意软件的分析以及GitHub安全团队的披露,我们可以对可能感染的环境进行排查,条件如下:是否存在NetBeans IDE环境
在NetBeans项目目录中寻找cache.dat和nbproject/cache.dat
排查是否新生成的项目中自带上述文件
根据Github安全团队描述,在3月9日就已经接收到安全研究人员消息,并着手对此次事件进行分析和处理。根据目前分析到的信息,在Github上进行搜索,还能够找到12个开放的issue和1个处理过的issue,包含了项目名,在此贴出供查询和处理:项目名称链接issue处理情况
george-bennett/V2Mp3Playerhttps://github.com/george-bennett/V2Mp3Player/issues/1未回应
KosimCorp/Kosim-Frameworkhttps://github.com/KosimCorp/Kosim-Framework/issues/1未回应
SebasR16/Punto-de-ventahttps://github.com/SebasR16/Punto-de-venta/issues/1未回应
PratDaBrat/JavaPacmanhttps://github.com/PratDaBrat/JavaPacman/issues/2未回应
BarbosaO/2D-Physics-Simulationshttps://github.com/BarbosaO/2D-Physics-Simulations/issues/1未回应
Sliray/Secuencia-Numericahttps://github.com/Sliray/Secuencia-Numerica/issues/1未回应
hawaco
最低0.47元/天 解锁文章
扫一扫
565
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
