Обнаружена новая бэкдор-угроза, цель которой — поставить под угрозу компьютеры Mac разработчиков Apple с помощью троянизированного проекта Xcode. Эта вредоносная программа может записывать микрофон, камеру, клавиатуру жертвы, а также выгружать / скачивать файлы. Первый очевидный пример угрозы был обнаружен внутри американской организации.
Новый вредоносный проект Xcode был обнаружен Sentinel Labs (через Ars Technica). Исследователи назвали угрозу «XcodeSpy», которая представляет собой специальную сборку бэкдора EggShell для компрометации macOS.
Троянский код скрывается как мрачная копия законного проекта Xcode с открытым исходным кодом и работает, используя функцию Run Script в Xcode IDE. Sentinel Labs объясняет:
Недавно нам стало известно о распространенном троянизированном проекте Xcode, нацеленном на разработчиков iOS, благодаря совету анонимного исследователя. Вредоносный проект — это подделанная версия законного проекта с открытым исходным кодом, доступного на GitHub. Проект предлагает разработчикам iOS несколько расширенных функций для анимации панели вкладок iOS на основе взаимодействия с пользователем.
Однако версия XcodeSpy была слегка изменена для выполнения запутанного сценария выполнения при запуске целевой сборки разработчика. Сценарий связывается с C2 злоумышленников и сбрасывает пользовательский вариант бэкдора EggShell на машину разработки. Вредоносная программа устанавливает пользователя LaunchAgent для сохранения и может записывать информацию с микрофона, камеры и клавиатуры жертвы.
Исследователи из Sentinel Labs обнаружили два варианта полезной нагрузки и до сих пор видели один в диком случае в американской организации. Они считают, что кампания по вредоносному ПО, возможно, длилась с июля по октябрь 2020 года, и говорят, что степень распространения пока неизвестна, но дальнейшие проекты XcodeSpy могут отсутствовать.
Нам пока не удалось обнаружить другие образцы троянизированных проектов Xcode, и мы не можем оценить масштабы этой активности. Однако временная шкала из известных образцов и другие индикаторы, упомянутые ниже, предполагают, что могут существовать другие проекты XcodeSpy. Рассказывая о деталях этой кампании, мы надеемся привлечь внимание к этому вектору атаки и обратить внимание на тот факт, что разработчики являются очень важными целями для злоумышленников.
Хотя XcodeSpy можно было использовать в качестве целевой атаки на небольшую группу разработчиков Apple, Sentinel Labs рекомендует всем разработчикам Apple проверять и устранять вредоносный код. Вы можете найти пошаговые инструкции, как это сделать, здесь (в разделе «Обнаружение и смягчение последствий»).
Ознакомьтесь с полной технической информацией о XcodeSpy в полном отчете.
