| 18 марта 2021 г. — 10:36 PT
Обнаружена новая угроза типа бэкдор, которая нацелена на компрометацию Mac-компьютеров разработчиков Apple с помощью троянизированного проекта Xcode. Это вредоносное ПО может записывать звук с микрофона, снимать изображение с камеры, перехватывать нажатия клавиш, а также загружать/скачивать файлы. Первый обнаруженный пример этой угрозы был найден в организации из США.
Новый вредоносный проект Xcode был обнаружен Sentinel Labs (через Ars Technica). Исследователи назвали эту угрозу «XcodeSpy», которая представляет собой кастомную сборку бэкдора EggShell для компрометации macOS.
Троянизированный код маскируется под вредоносную копию легитимного проекта с открытым исходным кодом и работает за счет эксплуатации функции Run Script в среде разработки Xcode. Sentinel Labs объясняет:
Недавно мы узнали о троянизированном проекте Xcode в реальном мире, нацеленном на iOS-разработчиков, благодаря сообщению от анонимного исследователя. Вредоносный проект представляет собой измененную версию легитимного проекта с открытым исходным кодом, доступного на GitHub. Проект предлагает iOS-разработчикам несколько продвинутых функций для анимации Tab Bar в iOS в зависимости от действий пользователя.
Версия XcodeSpy, однако, была незаметно изменена для выполнения обфусцированного скрипта Run Script при запуске сборки разработчика. Скрипт связывается с C2-сервером злоумышленников и загружает кастомный вариант бэкдора EggShell на машину разработчика. Вредоносное ПО устанавливает пользовательский LaunchAgent для обеспечения персистентности и способно записывать информацию с микрофона, камеры и клавиатуры жертвы.
Исследователи из Sentinel Labs обнаружили два варианта полезной нагрузки и пока видели один случай в реальном мире в организации из США. Они полагают, что кампания вредоносного ПО могла проводиться с июля по октябрь 2020 года, и говорят, что масштаб распространения пока неизвестен, но другие проекты XcodeSpy могут существовать.
На данный момент нам не удалось обнаружить другие образцы троянизированных проектов Xcode и оценить масштабы этой активности. Однако временные рамки известных образцов и другие упомянутые ниже индикаторы предполагают, что другие проекты XcodeSpy могут существовать. Делясь деталями этой кампании, мы надеемся повысить осведомленность об этом векторе атаки и подчеркнуть тот факт, что разработчики являются ценными целями для злоумышленников.
Хотя XcodeSpy мог использоваться как целенаправленная атака на небольшую группу разработчиков Apple, Sentinel Labs рекомендует всем разработчикам Apple проверять и устранять вредоносный код. Пошаговые инструкции о том, как это сделать, можно найти здесь (в разделе «Обнаружение и устранение»).
Ознакомьтесь с полными техническими подробностями XcodeSpy в полном отчете.