Un nouveau logiciel malveillant Octopus Scanner empoisonne des projets NetBeans sur Github
La sécurité de la chaîne d'approvisionnement open source concerne l'intégrité de l'ensemble de l'écosystème de développement et de livraison de logiciels. Un malware se propageant automatiquement et de la chaîne d'approvisionnement OSS a été trouvé abusant des référentiels Github.
Les faits
Le 9 mars 2020, l'équipe de réponse aux incidents de sécurité (SIRT) de GitHub a reçu sa notification initiale concernant un ensemble de référentiels qui servaient activement des projets open source infectés par des logiciels malveillants. Depuis lors, Github a trouvé 26 référentiels sur sa plate-forme contenant des traces du scanner Octopus.
- En mai 2020, GitHub a émis un avertissement à propos de cette nouvelle souche de malware qui se répand sur son site via des projets Java boobytrapped. Le scanner Octopus a été trouvé dans des projets gérés à l'aide de l'environnement de développement intégré (IDE) Apache NetBeans.
- Le malware détaille et sauvegarde les référentiels NetBeans après avoir implanté un malware malveillant dans les fichiers binaires JAR, les fichiers de projet et les dépendances, puis se propage aux systèmes de développement en aval. Il a principalement des développeurs infectés pour accéder à des projets, des environnements de production, des mots de passe de base de données et d'autres ressources critiques supplémentaires.
- Le malware peut s'exécuter sur les systèmes Windows, Linux et macOS et déployer un outil d'administration à distance (RAT) via l'attaque de la chaîne d'approvisionnement GitHub. Octopus Scanner est également conçu pour empêcher les nouvelles versions de remplacer les versions compromises en gardant en place ses artefacts de génération malveillants.
Les antécédents
Le malware Octopus fait partie de la famille des ransomwares Phobos. Octopus peut télécharger et télécharger des fichiers, prendre des captures d'écran et creuser dans d'autres données personnelles sur des machines infectées. Depuis son origine, il s'est principalement concentré sur les responsables politiques et diplomatiques d'Asie centrale.
- En novembre 2018, Octopus Scanner, déguisé en version d'un messager en ligne populaire et légitime (Telegram), a ciblé les organisations diplomatiques d'Asie centrale dans une vague de cyber-espionnage. Il a ensuite permis aux pirates d'accéder à distance à l'ordinateur d'une victime.
- En avril 2018, le groupe DustSquad a utilisé l'interdiction potentielle de Telegram au Kazakhstan pour faire office de logiciel de communication alternatif pour l'opposition politique avec une interface russe. Le scanner Octopus, qui a été utilisé dans les attaques, a exploité des bibliothèques Delphi tierces pour la compression.
Les mesures à prendre
Les organisations doivent signer des accords avec tous les fournisseurs et sous-traitants pour suivre strictement les politiques de sécurité des données. De plus, les utilisateurs doivent maintenir tous les logiciels et systèmes à jour. L'utilisation de mesures de protection adéquates pour la sécurité peut détecter plus tôt toute activité malveillante et tout problème potentiel. Analysez l'ordinateur à l'aide de solutions de point de terminaison fiables.