Исследователи безопасности из SentinelLabs обнаружили новое вредоносное ПО, которое нацелено на разработчиков Xcode, используя функции сценариев платформы кодирования для установки бэкдора на уязвимые машины.
Вредоносная программа, получившая название XcodeSpy, влияет на интегрированную среду разработки Xcode (IDE) в macOS. Xcode используется разработчиками Apple для создания приложений App Store для iPhone, Mac и других устройств.
По словам исследователей, злоумышленники используют функцию Run Script в среде IDE для заражения разработчиков Apple с помощью общих проектов Xcode.
В SentinelLabs заявили, что так называемый "троянизированный проект Xcode" в настоящее время заражает разработчиков iOS в "дикой природе". Это подделанная версия легального проекта, доступного на GitHub, который предлагает разработчикам iOS расширенные функции для анимации панели вкладок iOS.
После загрузки и запуска вредоносного проекта Xcode он устанавливает собственный вариант бэкдора EggShell с механизмом сохранения. Исследователи говорят, что бэкдор может позволить злоумышленнику загружать или скачивать файлы и записывать микрофон, камеру и клавиатуру жертвы.
Как упоминалось ранее, атака основана на возможности запуска сценария в Xcode. Эта функция позволяет разработчикам запускать собственный сценарий оболочки при запуске экземпляра своего приложения. Он запутан, потому что в консоли или отладчике нет указаний на выполнение вредоносного сценария.
SentinelOne заявляет, что знает как минимум об одном случае взлома в американской организации. Сообщается, что кампания действовала с июля по октябрь 2020 года и, возможно, также была нацелена на разработчиков из Азии. Исследователи говорят, что они не знают о других вредоносных проектах Xcode и не могут оценить, является ли это серьезной проблемой. Однако есть некоторые признаки того, что могут существовать другие троянизированные проекты Xcode.
"Рассказывая о деталях этой кампании, мы надеемся повысить осведомленность об этом векторе атак и подчеркнуть тот факт, что разработчики являются очень важными целями для злоумышленников", - пишут SentinelOne в своем блоге.
Исследователи добавили, что оригинальная версия проекта iOS Tab Bar, получившая название TabBarInteraction, не подвергалась подделке и ее можно безопасно загрузить с GitHub.
Кто в опасности и как защитить себя
SentinelOne поясняет, что всем разработчикам Apple следует опасаться сторонних проектов Xcode. Команда добавила, что особенно уязвимы новые или неопытные разработчики, которые могут не знать о функции Run Script. Всем разработчикам Apple рекомендуется соблюдать осторожность и проверять наличие вредоносных сценариев выполнения при использовании стороннего проекта Xcode.
Разработчики должны проверять отдельные проекты на наличие вредоносных сценариев выполнения на вкладке "Фазы сборки". В SentinelOne есть дополнительная информация об обнаружении и устранении угрозы.
Иван Ковалев
VIA