这个危机,足以改变Java代码编程的未来!

近日,代码托管平台GitHub官方安全博客发布了一则警示信息,称当前一种新的恶意软件正在对Java项目进行攻击。它的出现,足以改变Java代码编程的未来。

根据相关信息披露,这个攻击是针对Apache NetBeans IDE项目的开源供应链,GitHub平台安全团队将其称之为“Octopus Scanner”。并表示项目一旦受到感染,恶意程序便会对用户开发系统上的NetBeans项目进行追踪,同时将恶意负载嵌入到项目文件中,导致项目在每次进行构建时,都会执行恶意负载操作。
这个危机,足以改变Java代码编程的未来!_第1张图片
据GitHub称:“当用户下载了这26个存储库中的任何一个时,该恶意软件就会像自传播病毒一样,感染本地计算机,并扫描用户的工作站,查看是否有本地NetBeans IDE安装,如果有的话,那么将会继续深入的影响到计算机中的其他Java项目。”

相关安全研究人员表示,若发现了NetBeans IDE,Octopus Scanner会有两个步骤来继续NetBeans项目的后门构建:
这个危机,足以改变Java代码编程的未来!_第2张图片
在构建项目时,项目所产生的JAR文件会被dropper感染。在执行时,dropper的有效负载会保障本地系统的持久性,同时产生一个远程管理工具(RAT),用以连接到C2服务器。

其还会阻止新项目的构建来替换掉受感染的构建,使得恶意构建项目甚至在Java代码编程未来一直存在。

1、Octopus Scanner的感染过程

Octopus Scanner恶意软件能够在Windows、Linux和macOS系统上运行,可以轻松识别NetBeans项目文件,并把恶意有效负载嵌入到项目文件以及构建JAR文件中。

安全研究员发布了Octopus Scanner恶意软件的具体攻击过程:

●识别用户的NetBeans目录

●枚举NetBeans目录中的所有项目

●将恶意负载复制cache.dat到nbproject/cache.dat

●修改nbproject/build-impl.xml文件以确保每次构建NetBeans项目时都执行恶意有效负载
这个危机,足以改变Java代码编程的未来!_第3张图片
需要注意的是,Octopus Scanner在感染过程中可能会发生“变异”。虽然GitHub目前只能访问一个Octopus Scanner样本,但是在受感染的存储库中发现了四个不同版本的NetBeans感染项目,其中三个为影响下游的系统,例如在直接受感染的存储库中完成构建,或是利用受感染的构建工具在下游系统中生成了受感染的工具,进而形成“套娃”形式的传播。而另外一个“变体”则是执行本地的系统感染,同时不会影响Java代码编程未来构建工具。

那么,攻击者的真正目的是什么呢?攻击者的真正目的,或许不是要影响Java项目,而是试图在开发敏感项目或主流软件开发公司内部人员的计算机上“留一手”,通过RAT病毒窃取到即将发布的工具、企业级软件及闭源软件的敏感信息。
这个危机,足以改变Java代码编程的未来!_第4张图片
GitHub表示:“Octopus Scanner恶意软件已经运行多年了,最早甚至可以追溯到2018年的8月,当时就已经被上传到了VirusTotal web scanner上。可是截止到目前,Octopus Scanner一直没有能够被有效阻止,尽管本次只是在GitHub的26个存储库当中发现了Octopus Scanner,但是目前来看,在过去的两年中,或许已经有相当数量的存储库已经被感染,甚至在Java代码编程未来还会感染更多项目”

2、除了NetBeans,其它的IDE也可能会受到影响

GitHub安全团队在一份报告当中称:“Octopus Scanner恶意软件目前主要攻击的是NetBeans构建过程,但是从事实上来说,NetBeans并不是Java项目中最为常用的IDE。”

由此,GitHub猜测,如果攻击者专门花时间开发了针对NetBeans的恶意软件,那么就意味着这可能是有针对性的攻击,也许他们针对Make,MsBuild,Gradle等构建系统也实施了相同的恶意攻击,只是到目前为止尚未引起注意。

更令人不安的是,Octopus Scanner检测难度非常高,GitHub向VirusTotal上传了样本,60个杀毒软件中,只有4个可以将其检测出来。恶意软件伪装成了ocs.txt文件,但实际上它是一个JAR(Java Archive)文件。

Java代码编程未来,掌握在了一个恶意软件手里。

你可能感兴趣的:(Java,java,大数据,编程语言,linux)