Cover Image

L'attacco a GitHub utilizza malware Octopus Scanner

29 Maggio 2020 - Tempo di lettura: 11 minuti

Octopus Scanner è un nuovo malware utilizzato per compromettere 26 progetti open source in un massiccio attacco a GitHub.

Il 9 marzo, il team SIRT (Security Incident Response Team) di GitHub ha ricevuto un messaggio dal ricercatore di sicurezza JJ, che aveva scoperto una serie di repository GitHub che servono attivamente malware. Un'analisi approfondita del malware ha rivelato che è stato creato per compromettere i progetti NetBeans, qualcosa che non avevano mai visto prima su GitHub. Tutti i progetti interessati servivano attivamente codice backdoor e i proprietari di questi repository non ne erano completamente consapevoli.

Nico Waisman, capo del GitHub Security Lab, afferma che il primo passo nelle loro indagini è stato quello di identificare se la campagna fosse ancora attiva. Una volta che la valutazione critica è stata completata e hanno appreso che il server di comando e controllo (C2) non era attivo, sono stati in grado di ridurre il livello di rischio e dare un'occhiata più da vicino a Octopus Scanner, un malware open source della catena di fornitura.

"La caratteristica unica di questo malware è che si rivolge agli sviluppatori come mezzo di diffusione", spiega Waisman. 

"Una volta che il computer viene infettato, cerca i file NetBeans da infettare." Mentre gli utenti di GitHub, in qualità di sviluppatori, dovrebbero essere preoccupati per questo malware che utilizza gli sviluppatori per la propagazione, Waisman osserva che questa particolare tecnica è "estremamente rara".

Quando Octopus Scanner atterra su una macchina, cerca segni che indicano che l'IDE di NetBeans è in uso sul sistema di uno sviluppatore, il ricercatore di sicurezza GitHub Alvaro Muñoz spiega in un post sul blog sui loro risultati. Se non trova nulla, il malware non interviene. In tal caso, garantisce che ogni volta che viene creato un progetto, tutti i file JAR risultanti siano infettati da un contagocce. Quando eseguito, il payload garantisce la persistenza e diffonde un Trojan di accesso remoto (RAT), che si collega ai server C2.

Il malware continua a diffondersi infettando i progetti NetBeans o i file JAR. In questo modo, backdoor progetti sani, quindi quando gli sviluppatori rilasciano codice al pubblico, contiene malware. L'obiettivo di Octopus Scanner è quello di inserire backdoor negli artefatti creati da NetBeans in modo che l'attaccante possa utilizzare queste risorse come parte del server C2, afferma Waisman.

"Quando l'utente finale distribuisce il carico di lavoro, ha concesso all'autore dell'attacco l'accesso tramite la backdoor alle proprie risorse da utilizzare come parte di un server di comando e controllo", aggiunge.

Octopus Scanner cerca anche di impedire a qualsiasi nuova build del progetto di sostituire quella infetta. Ciò garantisce che i componenti di build dannosi rimangano in posizione. Durante la ricerca dei repository infetti, GitHub ha trovato quattro diverse versioni dei progetti NetBeans interessati. Tutti tranne uno, un sistema a valle, verrebbero infettati costruendo da un repository infetto o usando uno qualsiasi degli artefatti compromessi che provenivano da una build infetta, Muñoz ha scritto. 

"Infettare artefatti di compilazione è un mezzo per infettare più host poiché il progetto infetto verrà probabilmente costruito da altri sistemi e gli artefatti di compilazione saranno probabilmente caricati ed eseguiti anche su altri sistemi", spiega nel post del blog .

È interessante che gli aggressori abbiano scelto specificamente di indirizzare il processo di compilazione di NetBeans, soprattutto perché non è l'IDE Java più comune. Questo potrebbe indicare un attacco mirato, dice Muñoz, oppure potrebbero aver già implementato il malware per sistemi di build come Make, MsBuild o Gradle e potrebbe diffondersi inosservato.

Minacce della catena di fornitura: cosa dovresti sapere
Gli sviluppatori e le aziende stanno diventando sempre più dipendenti dal codice open source, afferma Waisman. L'open source è facile per gli sviluppatori, il che significa che è anche facile per gli avversari. Gli aggressori perseguono compromessi nella catena di approvvigionamento perché possono avere una portata diffusa: un singolo attacco può dare loro accesso a più obiettivi. E come sottolinea Muñoz, il malware che abusa del processo di compilazione e dei suoi artefatti risultanti è "sia interessante che preoccupante" per diversi motivi. 

In un contesto open source, ciò fornisce al malware un mezzo efficace di diffusione. I progetti infetti saranno probabilmente clonati e utilizzati su sistemi diversi e gli artefatti delle build potrebbero diffondersi ulteriormente, rendendo più difficile la ricerca.

Poiché gli utenti primari di questi repository sono sviluppatori, un'intrusione riuscita potrebbe consentire agli aggressori di accedere alle stesse risorse utilizzate dagli sviluppatori. Questi possono includere password aggiuntive, ambienti di produzione, password del database e altre risorse sensibili, aggiunge.

Mentre compromessi della catena di approvvigionamento come questo sono spaventosi, Waisman afferma che rimangono rari.

intopic.it