גיטהאב מזהירה: נוזקה אצלנו טירגטה מפתחים
26 פרויקטים באתר כבר נדבקו בנוזקת Octopus Scanner, שהפיצה את עצמה ושתלה למפתחים רכיב טרויאני המופעל מרחוק. תקפה בעיקר מפתחים ב-NetBeans
תמונה: github
מתכנתים אמורים להיות קצת יותר מודעים לסכנות אבטחה מהמשתמש הפשוט, אבל גם הם לא חסינים בפני נוזקות, בטח כשאלו מטרגטות אותם ואת מאגרי הקוד (ריפו) שלהם שמאוחסנים בגיטהאב.
רציתם לפתח בג’אווה? יכול להיות שזו נוזקה
גיטהאב פרסמה אזהרה למפתחים על סוג חדש של נוזקה, שהופצה במאגרי הקוד (Reops) ומתחזה לפרויקטים של פיתוח ג’אווה בסביבת הפיתוח המשולבת Apache NetBeans. הנוזקה זכתה לשם Octopus Scanner על ידי צוות האבטחה של גיטהאב.
באזהרה שפרסמה גיטהאב נכתב כי הנוזקה החדשה נמצאה ב-26 ריפוז שהועלו לאתר. הגילוי של ה-Octopus Scanner הגיע לאחר שחוקר אבטחה שלח לגיטהאב אזהרה בנושא כבר בחודש מרץ האחרון. בגיטהאב אומרים כי ברגע שמפתחים הורידו למחשבים ריפו נגוע הוא הפך לווירוס והפיץ את עצמו במערכת המחשבים שלהם.
מרגע שהורדה למחשב, הנוזקה החלה לסרוק את המערכת של המפתח שהודבק אחר התקנות של NetBeans והטמיעה את עצמה גם בפרויקטי הג’אווה שפיתח בסביבת העבודה המשולבת. לשאלתכם – כן, הנוזקה לא משפיעה רק על Windows אלא גם macOS וכן, גם לינוקס. לאחר שהגיעה למחשב דרך הריפו הנגוע, הורידה הנוזקה רכיב טרויאני, שניתן להפעלה מרחוק כחלק האחרון במסע ההדבקה שלה – מה שאיפשר למפעיל הנוזקה לחפור במחשבי המפתחים שנדבקו.
על פי ZDNet, המטרה הגדולה של הנוזקה הייתה בסופו של דבר לנסות ולהדביק בסוס טרויאני מפתחים שעבדו על פרויקטי ג’אווה רגישים או מפתחים העובדים בחברות תוכנה גדולות ולא בהכרח “להרעיל” פרויקטי קוד פתוח של ג’אווה. על ידי התקנת הטרויאני יכלו התוקפים לגנוב כלים בפיתוח ולשנות את הקוד במוצרים שפיתחו כדי להכניס בו “דלתות אחוריות”.
בגיטהאב מאמינים כי מלבד 26 הפרויקטים הנגועים שנמצאו, היו פרויקטים רבים נוספים שהיו נגועים בנוזקה בשנתיים האחרונות. בהודעה שפרסמו תהו חוקרי האבטחה מדוע הוטמעה הנוזקה דווקא בסביבת עבודה פחות פופולרית כמו NetBeans ואמרו כי יכול להיות שמדובר במתקפה שתוכננה כלפי יעד מסוים, או שהתוקפים הגיעו אל NetBeans אחרי שהפיצו את הנוזקה בסביבות עבודה אחרות כמו Make, MsBuild או Gradle. שמות הספריות שהודבקו לא פורסמו, אבל דרך הפעולה של הנוזקה פורסמה כך שמפתחים ב-NetBeans יוכלו לבדוק אם הודבקו.
אושרי אלקסלסי
Your Friendly Neighborhood Geek. יש לכם סיפור טכנולוגי? דברו איתי: Oshry@geektime.co.il
הגב
13 תגובות על "גיטהאב מזהירה: נוזקה אצלנו טירגטה מפתחים"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
נא לתקן את הכותרת או לא להשתמש במילים לועזיות כלל.
אז ככה. הmalware הזה כבר לא פעיל כמעט שנתיים. עדיין מדבק אבל לא יכול ״להתקשר הביתה״ כי השרתים כבר לא שם.
מפתיע מאד שזה שרד כלכך הרבה זמן כי מדובר על קיבצי XML בתיקיית שורש של הפרויקט שכוללים שורות ממש חשודות. אנשים כנראה לא עושים review כמו שצריך כשהם עושים commit.
אנחנו צריכים לפקוח עיניים לגבי סיפריות וקבצים שלכאורה מיוצרים ע״י סביבת הפיתוח ולא לסמוך עליהם בעיניים עצומות.
בהצלחה לעשות את זה עם מליון תלויות של כל פרוייקט מסכן של npm
זו בעיה אינהרנטית בNPM שכבר קרס כמה פעמים בגלל השטות של ספריות על כל שורת קוד עלובה. פה זה לא קורה כי הנוזקה הזו לא מורידה תלויות דינמית וההערה דיברה ספציפית על המצב פה שאני די בקיא בו. Maven וGradle בהחלט הרבה יותר בעייתים, זו חלק מהבעיה פה.
מי בכלל משתמש בnetbeans בימינו?
מי משתמש בeclipse?
כולם עברו לIntelliJ.
יש לnetbeans כמה נישות בעיקר באקדמיה. הוא בערך 10 אחוז מהשוק לפי הסקרים שאנחנו עשינו. וEclipse לא במצב הרבה יותר טוב משהוא בין 25-30 אחוז שוק.
כותרת הזויה. “טירגטה”?! באמת?!
מהמילה to target.ֿ
או פשוט ״לכוון״ בעברית.
כל הפועלי בניין הוירטואלים עושים קופי פייסט מהגיטאב בלי לחשוב
אני דווקא חושב הרבה לפני- קורא את הקוד קורא מאה מאמרים קורא את הISSUE list חוות דעת מתכנתים בפרורומים
רק אחרי זה אני עושה קופי-פסט…
אני דווקא לא הייתי ממהר לזלזל בנוזקה כזאת. יש לה פוטנציאל גבוה לדעתי למצוא את דרכה למוצרים חשובים.
נוזקה שמופצת דרך אופן סורס זה יחסית קל. ברגע שמחדירים אותה לרפו, כולם מעדכנים אוטומטית. ואל תספרו לי סיפורים שכולם פה עוברים על הקוד מקור של הספריות שהם מורידים. כן, בטח.
משם הם “יושבים” על מכונת המתכנת נארזים במוצר שלו וזה יוצא להפצה המונית.
אגב, עוד דרך משעשעת זה לפרסם תשובות בבלוגים ופורומים בסגנון:
To resolve your problem simply run
sudo apt-get install my-virus
תתפלאו כמה מתכנתים מעתיקים פתרונות מstackoverflow ומריצים בsudo.
זה למה הגישה הריכוזית של לינוס טורוואלדס מוכיחה את עצמה, בסוף צריך להיות רק כמה בודדים שסומכים עליהם שעוברים על ה PR למאסטר
דרוש סטרטאפ שיעשה אנטיוירוס לקוד מקור