vlambda博客
学习文章列表

GitHub 上数十个 NetBeans 开源项目被卷入供应链攻击

  聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
GitHub 上数十个 NetBeans 开源项目被卷入供应链攻击

上周四, GitHub  披露称,托管在其平台上的数十个开源的  NetBeans  项目遭某恶意软件攻击,显然是供应链攻击的一部分。


39日,一名安全研究员注意到托管在 GitHub 上的多个仓库很可能在其所有者不知情的情况下被用作恶意软件,该恶意软件被命名为 Octopus Scanner
研究人员分析发现26个受影响的 NetBeans 项目被安装后门。该恶意软件旨在向项目文件和新建的 JAR 文件添加恶意代码。JAR 文件遭一个释放器感染,它的 payload 旨在确保持久性和远程管理工具的生成。该远程管理工具被发送给 UNIX类和 Windows 系统。
该恶意软件同时阻止新项目 build 替代已遭感染的版本。当 GitHub 3月份分析该恶意文件时发现了4个样本,而它们仅被 VirusTotal 上的少数几个反恶意软件引擎发现。检测率之后得到提升,但目前仍仅在20/60的水平。
开源项目如可被 Octopus Scanner 攻击的项目可被克隆、fork 和使用,导致该恶意软件得到更广范围的传播。研究人员指出,“由于受感染的用户主要是开发人员,因此它所获得的权限是攻击者感兴趣的,因为这些权限可被用于访问其它项目、生产环境、数据库密码和其它重要资产。还有很大可能导致权限提升的后果,而这是多数情况下攻击者的一个核心目标。”
该恶意软件能够攻击 NetBeans 项目耐人寻味,因为还存在其它更流行的 Java IDEGitHub 指出,“如果恶意软件开发人员专门为 NetBeans 项目部署,那么意味着这要么是针对性攻击,要么已经在 build 系统上实现该恶意软件,这些系统包括 MakeMsBuildGradle 等,而且它的传播可能未引起人们的注意。”
GitHub 指出已经提供了多个功能,助力维护该开源软件供应链的完整性和安全性,而且承诺将继续做出改进。GitHub 向开发人员发出警告称,上个月他们的账户可能因遭受复杂的钓鱼攻击活动而受陷。








推荐阅读







原文链接

https://www.securityweek.com/netbeans-projects-github-targeted-apparent-supply-chain-attack



题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。


GitHub 上数十个 NetBeans 开源项目被卷入供应链攻击

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    点个 “在看” ,加油鸭~