章鱼扫描仪恶意软件如何攻击开源供应链|每日swbeplay2018官网ig

恶意软件滥用了GitHub上的构建过程

GitHub提供了章鱼扫描仪恶意软件攻击后的验尸

分析Github发表了一个真实世界的信息验尸开源软件供应链攻击。

GitHub上的NetBeans存储库被用作服务章鱼扫描仪的递送点恶意软件，专门为感染Netbeans项目而设计的后门。

攻击的结果是，开源构建过程受到损害，并影响了26个开源项目。

这次攻击要比作为指挥和控制（C2）基础架构的一部分的GitHub平台更为普遍的问题要深得多。

Github通过从一个小费中获悉了3月9日的安全漏洞独立安全研究人员谁警告说，一套Github托管的存储库正在积极使用恶意软件。

随后的调查证实，章鱼扫描仪恶意软件能够在嵌入项目文件中嵌入恶意有效载荷和构建JAR文件之前对NetBeans项目文件进行分类。

受影响的存储库所有者很可能完全不知道恶意活动，而对混乱进行排序是一个挑战，因为简单地阻止或禁止维护者不是一个不错的选择。

GitHub安全实验室必须确定如何从受感染的存储库中正确删除恶意软件，而不必关闭用户帐户。

一个详细的技术分析Github的AlvaroMuñoz解释了安全团队在没有少量困难的情况下如何完成此过程。

有关攻击的许多问题仍然存在 - 尤其是为什么恶意软件作者针对NetBeans构建过程，这是一个相对不合时宜的Java IDE。

“如果恶意软件开发人员花时间专门针对Netbeans实施此恶意软件，则意味着它可能是有针对性的攻击，或者他们可能已经为构建系统（例如Make，MSBuild，Gradle等）实施了恶意软件可能没有注意到。”穆尼兹说。

“即使在分析时似乎没有恶意软件C2服务器活跃，但受影响的存储库仍然对GitHub用户构成风险，这些用户可能会克服并构建这些项目。”

开源软件安全专家Sonatype的首席技术官Brian Fox评论说，使章鱼扫描仪如此危险的原因是感染了开发人员工具，这些工具随后感染了他们正在从事的所有项目，从而影响了他们的团队或开源用户社区。

福克斯说：“章鱼扫描仪恶意软件验证了在您的代码中分析二进制文件而不接受清单的重要性。”

“使章鱼如此危险的原因是它具有感染项目中其他JAR文件的能力，因此开发人员最终将突变的代码和分配给其团队或开源用户社区。

“我们已经在OSS项目中看到了20多次一次一次性的恶意代码注入尝试，但这是一种新的攻击形式。这次攻击感染了开发人员工具，后来感染了他们正在从事的所有项目。”

回答来自每日swbeplay2018官网ig，尼科·韦斯曼（Nico Waisman），负责人github安全实验室解释说，“章鱼扫描仪的目标是将后门插入由Netbeans构建的人工制品中，以便攻击者可以将这些资源用作命令和控制服务器的一部分”。

Waisman补充说：“没有证据表明26个开源项目实际上是恶意软件的目标。”

“恶意软件的主要目标是感染开发人员的计算机，并通过Netbeans项目传播。由于开发商的感染，他们无意中将背式代码上传到存储库。”

软件依赖性无处不在，因此项目使用数百甚至数千个开源依赖性是正常的。韦斯曼警告说，攻击者正在利用这一点来制作攻击。

威斯曼说：“尽管开源对开发人员很容易，但这也意味着攻击者很容易。”“攻击者正在追求供应链妥协，因为他们可以广泛覆盖。单个妥协向量使他们可以访问多个目标。”

尽管供应链妥协令人恐惧，但它们仍然很少见，但威斯曼得出结论。

“供应链安全性的主要问题是未捕获的软件，” Waisman告诉《每日SWIG》。beplay2018官网“对于攻击者来说，利用依赖性中未拨动的已知漏洞比将新漏洞插入您的代码要容易得多。

“对于开发人员来说，主要的挑战是知道您的依赖性，并且知道何时需要修补它们。在github上，依赖图可帮助您了解项目的依赖性。”他总结说。

章鱼扫描仪恶意软件如何攻击开源供应链