GitHub告警：恶意软件正通过流行开源 IDE 攻击 Java 项目

GitHub 安全博客发布了一则通知，警告用户目前正有一种新的恶意软件在攻击 Java 项目。据了解，这是一个针对 Apache NetBeans IDE 项目的开源供应链攻击，GitHub 安全团队将其称为 Octopus Scanner。一旦感染，恶意软件会寻找用户开发系统上的 NetBeans 项目，然后将恶意负载嵌入到项目文件中，使得每次项目构建都会执行恶意负载。随后，GitHub 开始自查，在站点上共发现了 26 个包含 Octopus Scanner 恶意软件的存储库。据 GitHub 称：“当用户下载了这 26 个存储库中的任何一个时，该恶意软件就会像自传播病毒一样，感染本地计算机，并扫描用户的工作站，查看是否有本地 NetBeans IDE 安装，如果有，会继续深入影响计算机中的其他 Java 项目。”它会阻止新项目构建来替换受感染的构建，以确保恶意构建项目一直存在。