針對開發人員之供應鏈攻擊手法不斷更新,過往攻擊者主要透過直接竊取用戶帳密或憑證之方式,進而取得GitHub程式碼共享平台帳號之控制權。近期資安研究人員向GitHub資安事件應變團隊通報,發現駭客將惡意程式注入開源專案中,使開發人員上傳程式碼至GitHub平台時,便會無意間於GitHub平台上散布後門程式。此外,GitHub亦公布攻擊手法細節,期開發人員能夠加以防範。
資安研究人員將此次發現駭客所使用之惡意程式,命名為Octopus Scanner。駭客鎖定採用NetBeans整合開發環境之電腦發動攻擊,先將惡意程式植入至開發用電腦,並修改編譯之XML組態檔案內容,使開發者每次編譯程式時,惡意程式會一併載入並感染編譯好之JAR檔案,導致開發者提交至GitHub平台之程式碼帶有後門程式。
目前GitHub團隊發現已有26個開源專案遭攻擊者借殼上架後門程式,同時指出,在調查過程中,Octopus Scanner之C&C中繼站似乎尚未上線,但這不代表遭感染之專案可視為安全無虞,駭客可能藉此複製專案內容進行惡意程式擴散。
進一步清查受駭專案後發現,Octopus Scanner至少有4種版本,其中一種會感染下游系統,意指其他GitHub用戶複製受駭專案進行開發,可能會一併繼承這個惡意程式。至於其他3種Octopus Scanner,則是以開發者本機電腦為主要感染目標。
此外,由於NetBeans並非Java程式語言最常見之輔助開發工具,因此GitHub團隊認為,假如此次攻擊並非針對性攻擊,表示駭客可能已同時鎖定其他開發環境,如使用Make、MsBuild及Gradle等開發工具之電腦,也可能會出現類似Octopus Scanner惡意程式之攻擊。
資料來源:
https://securitylab.github.com/research/octopus-scanner-malware-open-source-supply-chain