GitHub 上数十个 NetBeans 开源项目被卷入供应链攻击
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
上周四,GitHub 披露称,托管在其平台上的数十个开源的 NetBeans 项目遭某恶意软件攻击,显然是供应链攻击的一部分。
3月9日,一名安全研究员注意到托管在 GitHub 上的多个仓库很可能在其所有者不知情的情况下被用作恶意软件,该恶意软件被命名为 Octopus Scanner。
研究人员分析发现26个受影响的 NetBeans 项目被安装后门。该恶意软件旨在向项目文件和新建的 JAR 文件添加恶意代码。JAR 文件遭一个释放器感染,它的 payload 旨在确保持久性和远程管理工具的生成。该远程管理工具被发送给 UNIX类和 Windows 系统。
该恶意软件同时阻止新项目 build 替代已遭感染的版本。当 GitHub 在3月份分析该恶意文件时发现了4个样本,而它们仅被 VirusTotal 上的少数几个反恶意软件引擎发现。检测率之后得到提升,但目前仍仅在20/60的水平。
开源项目如可被 Octopus Scanner 攻击的项目可被克隆、fork 和使用,导致该恶意软件得到更广范围的传播。研究人员指出,“由于受感染的用户主要是开发人员,因此它所获得的权限是攻击者感兴趣的,因为这些权限可被用于访问其它项目、生产环境、数据库密码和其它重要资产。还有很大可能导致权限提升的后果,而这是多数情况下攻击者的一个核心目标。”
该恶意软件能够攻击 NetBeans 项目耐人寻味,因为还存在其它更流行的 Java IDE。GitHub 指出,“如果恶意软件开发人员专门为 NetBeans 项目部署,那么意味着这要么是针对性攻击,要么已经在 build 系统上实现该恶意软件,这些系统包括 Make、MsBuild、Gradle 等,而且它的传播可能未引起人们的注意。”
GitHub 指出已经提供了多个功能,助力维护该开源软件供应链的完整性和安全性,而且承诺将继续做出改进。GitHub 向开发人员发出警告称,上个月他们的账户可能因遭受复杂的钓鱼攻击活动而受陷。
推荐阅读
FBI 连续第三次发布关于国家黑客利用 Kwampirs 发动全球供应链攻击的警告
Linux 基金会发布《开源软件供应链安全报告》
三大制造商物联网设备遭恶意软件感染,疑似源自供应链攻击
刚刚GitHub 收购 npm,旨在提升开源软件供应链安全
原文链接
https://www.securityweek.com/netbeans-projects-github-targeted-apparent-supply-chain-attack
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~
GitHub 上数十个 NetBeans 开源项目被卷入供应链攻击相关推荐
- Github上如何精确搜索开源项目
Github上如何精确搜索开源项目 许多自学编程的小伙伴学完语言后总不知道怎么寻找较好的项目来做,大部分人都知道github是个巨大的开源项目宝库,但是大部分人搜索项目时都是直接搜关键词,然后出现了上 ...
- 2020年7月Github上最热门的开源项目
来自:开源最前线(ID:OpenSourceTop) 7月份GitHub上最热门的开源项目排行已经出炉啦,一起来看看上榜详情吧 1 tsunami-security-scanner https://g ...
- 2020年1月Github上最热门的开源项目
来自:开源最前线(ID:OpenSourceTop) 1月份GitHub上最热门的开源项目排行已经出炉啦,一起来看看上榜详情: 1 the-book-of-secret-knowledge http ...
- 2020年2月Github上最热门的开源项目
关注上方"深度学习技术前沿",选择"星标公众号", 资源干货,第一时间送达! 来自:开源最前线(ID:OpenSourceTop) 2月份GitHub上最热门 ...
- vue github开源项目_11月份Github上最热门的开源项目
开源最前线(ID:OpenSourceTop) 猿妹整编 转载请注明来源作者 11 月份 GitHub 上最热门的开源项目排行已经出炉啦,在本月的名单中,有15亿参数量的通用语言模型.还有NLP工具包 ...
- 近期GitHub上最热门的开源项目(附链接)
2 月份 GitHub 上最热门的开源项目又出炉了,又有哪些新的项目挤进热门榜单了呢,一起来看看. 1.nocode https://github.com/kelseyhightower/nocode ...
- 如何在GitHub上发现优秀的开源项目
如何在GitHub上发现优秀的开源项目 如果作为一名程序员,你连GitHub都没有听过或者用过的话,那真是太遗憾了.GitHub的使用可是程序员在职业生涯中的一项必备技能啊,最近在网上搜了一下,发现有 ...
- [转]2020年2月份Github上最热门的开源项目,速来围观
随着疫情被逐渐控制,好消息一天天传来,相信用不了多久我们就能恢复正常生活了. 宅在家这么久,对于专业技能你落下了多少? 2月份GitHub上最热门的开源项目排行已经出炉啦,和我一起来看看上榜详情: 1 ...
- GitHub上不错的Android开源项目(二)
摘要:GitHub上的开源项目不胜枚举,通过这些项目,也能让开发者在应用开发过程中事半功倍,作为开发者的你,在用这些开源项目吗?今天我们将介绍另外20个在GitHub上备受欢迎的Android开源项目 ...
最新文章
- 最后的分的计算机公式,省考最后10天!掌握这些数学运算公式,提分!
- 单片机ad转换测电压c语言,大家帮我看下这个STC AD转换 测电压程序错在哪里,谢谢了...
- python包括哪些部分_python基础知识部分练习大全
- [Leedcode][JAVA][第466题][统计重复个数][数组]
- Java笔记-重写JsonSerializer中serialize方法使Json中时间戳/1000
- java循环语句_循环你都学会了,那if不是so easy了嘛
- 烂泥:centos6.4服务器添加新硬盘
- 案例学习BlazeDS+Spring之五InSync03强类型
- android 三方_面试官送你一份Android热门三方库源码面试宝典及学习笔记
- linux版wps无法输入中文的解决办法
- 西门子触摸屏函数翻译_触摸屏的中英文切换怎么做?
- 保存位图位图保存时上下颠倒?
- 如何解决浏览器被网站劫持
- 淘宝flexible.js源码分析
- Google Chrome常用插件推荐
- spring security中A granted authority textual representation is required
- android qq底部图片选择器,Android 高仿QQ图片选择器
- 可道云kodexplorer搭建私有云后的配置优化
- 埃森哲全球“技术展望2018”报告解析(附下载链接)
- Visual C#中用WMI获取远程计算机信息