GitHub安全博客警告了針對的Apache NetBeans IDE項目的開源供應鏈攻擊Octopus Scanner。GitHub稱它在3月9日收到了被稱為JJ的安全研究人員發來的警告，稱發現一組感染了惡意程序Octopus Scanner的開源庫。

一旦感染，惡意程序會尋找用戶開發系統上的NetBeans 項目，然後將惡意負荷嵌入到項目文件中，每次項目構建都會執行惡意負荷。

GitHub 隨後展開了調查，發現了26 個開源項目被植入了 Octopus Scanner 後門。

GitHub 稱，他們向VirusTotal 上傳了樣本，60 個殺毒軟件只有4 個能將其檢測出來。惡意程序偽裝成ocs.txt 文件，但實際上是一個JAR（Java Archive）文件。