章鱼扫描仪：Java构建工具和恶意软件

Alvaro Munoz最近在GitHub Security Lab网站上发布了“ Octopus扫描程序恶意软件：攻击开源供应链 ”。我发现这篇文章很有趣，原因有很多，其中包括对Octopus Scanner恶意软件如何工作以及如何被发现， GitHub安全事件报告团队（ SIRT ）如何着手解决，如何影响流行的详细报道。 Java IDE，以及GitHub如何工作以检测和解决在其站点上部署的开源软件的风险。

Muñoz称Octopus Scanner为“ OSS供应链恶意软件”，并写道，GitHub托管的26个开源项目“被该恶意软件后门”。在文章中，Muñoz详细描述了章鱼扫描仪的工作原理。整个帖子值得一读，但以下是介绍Octopus Scanner的一些重点内容：

“ Octopus Scanner恶意软件仅对“ NetBeans项目构建”中的pre-jar和post-jar任务感兴趣。
“该恶意软件伪装成ocs.txt文件，但我们可以很容易地确定它实际上是Java存档（JAR）文件。”
“该恶意软件还感染了项目中可用的任何JAR文件，例如依赖关系-不一定只是构建工件。”
“ octopus.dat有效负载是实际执行NetBeans构建感染的二进制文件。”
“ cache.dat负责对所构建的类进行后门操作，以便在执行这些类时，它们将感染基础系统。”
Octopus Scanner旨在针对“类UNIX系统”，MacOS和Windows。

我在GitHub帖子中发现了非常详细的诊断Octopus Scanner行为的方法，非常有趣而有见地。看到用来更好地了解Octopus Scanner行为的工具和方法特别有见识。例如，他们使用ClassFileTransformer和“字节码操作库（例如Javassist或ByteBuddy来注入我们的分析代码）”到“负责解密blob的类…………实际上是在将blob加载到JVM之前”。

除了关于章鱼扫描仪如何工作以及如何被发现和研究的有趣细节之外，此GitHub帖子中的其他有趣见解还与开源构建面临的风险有关。 Muñoz写道：“感染构建工件是一种感染更多主机的方法，因为受感染的项目很可能会由其他系统构建，并且构建工件也可能会在其他系统上加载并执行。” Muñoz补充说：“在OSS环境中，它为恶意软件提供了一种有效的传播手段，因为受影响的项目可能会被克隆，分叉，并可能在许多不同的系统上使用。这些构建的实际工件可能以与原始构建过程无关的方式进一步传播，并且在事后很难追查。”

Muñoz开启了该职位，并在结尾处对此进行了一些讨论，并讨论了破坏开源产品及其构建的其他尝试。结论中包含一个令人毛骨悚然的想法：“由于主要感染的用户是开发人员，因此攻击者对获得的访问权限非常感兴趣，因为开发人员通常可以访问其他项目，生产环境，数据库密码和其他重要资产。升级具有巨大的潜力，这在大多数情况下是攻击者的核心目标。”