GitHub heeft malware ontdekt die tal van NetBeans-projecten en hun ontwikkelaars infecteerde en zich de afgelopen jaren actief via het ontwikkelaarsplatform verspreidde. De malware besmette zowel de lokale systemen van ontwikkelaars als de software die ze ontwikkelden en vervolgens via GitHub aanboden. NetBeans is een ontwikkelomgeving voor Java-applicaties.

De malware, die zowel op macOS, Linux als Windows kan werken, wordt Octopus Scanner genoemd en is in staat om NetBeans-projectbestanden te herkennen en zowel de projectbestanden als gemaakte Jar-bestanden van kwaadaardige code te voorzien. Zodra een ontwikkelaar met Octopus Scanner besmet is zoekt de malware naar aanwijzingen dat er gebruik wordt gemaakt van NetBeans. Wanneer dit niet het geval is onderneemt de malware geen verdere acties.

Wanneer NetBeans wel aanwezig is, voorziet de malware alle met NetBeans gemaakte projecten van een backdoor. Zo worden alle Jar-bestanden die een project oplevert voorzien van een dropper, die een remote administration tool (RAT) op het lokale systeem installeert. Deze RAT maakt weer verbinding met servers van de aanvaller. Daarnaast voorkomt de malware dat nieuwe "builds" de besmette build vervangen.

De besmette projectsoftware werd vervolgens door ontwikkelaars op GitHub geplaatst en daar weer door andere ontwikkelaars gedownload. Deze ontwikkelaars raakten zo besmet, alsmede hun software, die vervolgens weer via GitHub werd aangeboden. Op deze manier kon Octopus Scanner zich via het ontwikkelaarsplatform verspreiden. Voor zover bekend zijn zeker 26 NetBeans-projecten op deze manier besmet geraakt. De eerste ontdekte versie van de malware dateert van augustus 2018. Het is dan ook goed mogelijk dat er de afgelopen jaren meer projecten besmet zijn geraakt.

Zorgwekkend

GitHub noemt de werkwijze van de malware, door zich via het buildproces en de resulterende software te verspreiden, interessant en zorgwekkend. "In de context van opensourcesoftware geeft het malware een effectief verspreidingsmechanisme, aangezien de getroffen projecten op veel verschillende systemen waarschijnlijk worden gekloond, geforkt en gebruikt. De bestanden die deze builds opleveren kunnen zich nog veel verder verspreiden op een manier die losstaat van het originele buildproces en veel lastiger na het feit is op te sporen", zegt Alvaro Muñoz van GitHub.

Aangezien de eerste besmette gebruikers ontwikkelaars zijn, is de toegang die via de malware wordt verkregen zeer interessant voor aanvallers. Ontwikkelaars hebben vaak toegang tot aanvullende projecten, productieomgevingen, databasewachtwoorden en andere belangrijke middelen. Een aanvaller kan zo vergaande toegang krijgen, merkt Muñoz op. Het is de aanvallers dan ook waarschijnlijk te doen om deze verdere toegang te verkrijgen en omgevingen van ontwikkelaars te compromitteren

Volgens Muñoz is het interessant dat de malware het had voorzien op NetBeans-projecten, aangezien het niet de meestgebruikte Java-ontwikkelomgeving is. Dat de aanvallers deze malware speciaal voor NetBeans hebben ontwikkeld kan dan ook duiden op een gerichte aanval of dat ze de malware al voor andere buildsystemen hebben geïmplementeerd en het daar niet is ontdekt. "Hoewel het infecteren van het buildproces zeker geen nieuw idee is, is actief gebruik ervan in het wild zeker een verontrustende trend", besluit Muñoz. De namen van de getroffen projecten zijn niet bekendgemaakt.