Исследователи безопасности обнаружили новое вредоносное ПО, которое нацелено на разработчиков Xcode, используя функции сценариев платформы кодирования для установки бэкдора на уязвимые машины.
Вредоносная программа, получившая название XcodeSpy, влияет на интегрированную среду разработки Xcode (IDE) в macOS. Xcode используется разработчиками Apple для создания приложений App Store для iPhone, Mac и других устройств.
По словам исследователей из SentinelLabs, злоумышленники используют функцию Run Script в среде IDE для заражения разработчиков Apple с помощью общих проектов Xcode.
Исследователи заявили, что так называемый «троянизированный проект Xcode» в настоящее время заражает разработчиков iOS в дикой природе. Это подделанная версия законного проекта, доступного на GitHub, который предлагает разработчикам iOS расширенные функции для анимации панели вкладок iOS.
После загрузки и запуска вредоносного проекта Xcode он устанавливает собственный вариант бэкдора EggShell с механизмом сохранения. Исследователи говорят, что бэкдор может позволить злоумышленнику загружать или скачивать файлы и записывать микрофон, камеру и клавиатуру жертвы.
Как упоминалось ранее, атака основана на возможности запуска сценария в Xcode. Эта функция позволяет разработчикам запускать собственный сценарий оболочки при запуске экземпляра своего приложения. Он запутан, потому что в консоли или отладчике нет указаний на выполнение вредоносного сценария.
SentinelOne заявляет, что ему известно по крайней мере об одном случае в американской организации. Сообщается, что кампания действовала с июля по октябрь 2020 года и, возможно, была нацелена на разработчиков из Азии. Исследователи говорят, что они не знают о других вредоносных проектах Xcode в дикой природе и не могут оценить, является ли это серьезной проблемой. Однако есть некоторые признаки того, что могут существовать другие троянизированные проекты Xcode.
«Рассказывая о деталях этой кампании, мы надеемся повысить осведомленность об этом векторе атак и подчеркнуть тот факт, что разработчики являются очень важными целями для злоумышленников», — написал SentinelOne в своем блоге.
Исследователи добавили, что оригинальная версия проекта панели вкладок iOS, получившая название TabBarInteraction, не подвергалась подделке и ее можно безопасно загрузить с GitHub.
Кто в опасности и как защитить себя
SentinelOne говорит, что всем разработчикам Apple следует опасаться сторонних проектов Xcode. Команда добавила, что особенно уязвимы новые или неопытные разработчики, которые могут не знать о функции Run Script. Всем разработчикам Apple рекомендуется соблюдать осторожность и проверять наличие вредоносных сценариев выполнения при использовании стороннего проекта Xcode.
Разработчики должны проверять отдельные проекты на наличие вредоносных сценариев выполнения на вкладке «Фазы сборки». В SentinelOne есть дополнительная информация об обнаружении и устранении угрозы.
