供应链攻击锁定GitHub开源软件专案，让开发人员上传程式码就一并植入后门程式

针对开发人员的供应链攻击可说是日益泛滥，而且骇客的手法不断推陈出新。过往攻击者主要是直接窃取用户帐密或是凭证，进而取得程式码共享平台账号的控制权，但现在有研究人员发现新的攻击管道，攻击者锁定开发人员的电脑下手，让他们于上传程式码时，无意间就帮自己在GitHub上架设后门，攻击者再将这些后门用于与C&C中继站通讯。最近，GitHub公布了上述攻击手法细节，希望开发人员能够加以防范。

今年3月，一个署名为JJ的资安人员，向GitHub资安事件因应团队通报，他发现一波新的攻击事件，骇客锁定采用NetBeans整合开发环境的电脑发动攻击，导致这些开发者提交到GitHub的程式码带有后门。该团队获报后，随即展开调查，发现有26个开源专案，被恶意软件借壳上架后门。GitHub资安事件因应团队表示，他们经常获报有人刻意利用GitHub，将其做为C&C中继站运作的一部分，但这次研究人员提出的情报相当不同，程式码数据库的所有人完全不晓得自己遭骇，持续在自己的GitHub账号提交带有后门的程式码。

研究人员将这次发现骇客作案的恶意软件，命名为Octopus Scanner。骇客攻击的方式，是先将这款恶意软件植入到开发用的电脑，接着Octopus Scanner会在电脑里扫描，找出所有的NetBeans专案档案与资料夹，并且将恶意负载（Payload）档案植入指定的资料夹，然后修改编译的XML组态档案内容，使得开发者每次编译程式时，恶意软件就会一并载入所有类别，而且还会感染编译好的JAR档案。

GitHub指出，他们在调查过程中，Octopus Scanner的C&C中继站似乎还没有上线，但这不代表遭感染的专案就安全，骇客还是很有可能借此复制专案的内容。基于前述用户应该不知情的前提，GitHub认为不应该直接封锁使用者的账号来处置，取而代之的是，他们会充分了解恶意软件散播的途径，再从这些专案妥善移除相关程式码。

不过，根据GitHub的调查，与获报资讯有所不同的是，Octopus Scanner不光是会感染编译过程产生的JAR档案，而是整个专案资料夹里的所有的JAR档案。该公司清查受害专案后进一步发现，Octopus Scanner至少有4种版本，其中一种还会感染下游系统，也就是说，假如其他GitHub用户复制了受害专案来进行开发，也可能会一并继承了这个恶意软件。至于其他3种Octopus Scanner，则是以开发者本机电脑为主要感染目标。

GitHub也将其中一个Octopus Scanner上传到VirusTotal，所有的60个防毒引擎中，竟然只有4个发现是恶意软件，这样的结果很可能会被当作是误判。

值得注意的是，NetBeans并非Java程式语言最常见的辅助开发工具，但为何骇客要针对使用这款整合开发环境的开发者下手？GitHub认为，假如此次攻击并非特定目标攻击，就是骇客已经同时对其他开发环境悄悄下手，像是使用Make、MsBuild，以及Gradle等开发工具的电脑，也可能会出现类似Octopus Scanner的恶意软件攻击。