新型恶意软件利用恶意Xcode项目在开发者Mac上安装后门
安全研究人员近日发现了针对 Xcode 开发者的全新恶意软件--XcodeSpy,它利用编码平台的脚本功能在受影响的设备上安装后门。开发者利用 Xcode 为 iPhone、iPad、Mac 等设备创建应用程序,而该恶意软件会感染 macOS 上的 Xcode 集成开发环境(IDE)。
据 SentinelLabs 的安全专家表示,不良行为者正在利用 IDE 中的 Run Script 功能,感染使用共享 Xcode 项目的苹果开发者。研究人员表示已经有证据表明有黑客利用所谓的“trojanized Xcode project”(木马化 Xcode 项目)来感染 iOS 开发者。而该项目是 Github 上一个合法项目(为 iOS 开发者提供 iOS Tab Bar 动画化的高级功能)的篡改版本。
一旦恶意 Xcode 项目被下载并启动,它就会安装一个带有持久性机制的 EggShell 后门的定制变体。研究人员表示,该后门可以让攻击者上传或下载文件,并记录受害者的麦克风、摄像头和键盘。
如上文所述,该攻击依赖于 Xcode 中的 Run Script 功能。该功能允许开发人员在启动其应用程序的实例时运行一个自定义的 shell 脚本。它被混淆了,因为在控制台或调试器中没有任何迹象表明恶意脚本已被执行。
SentinelOne 表示,目前至少有一家美国组织遭到该恶意软件攻击。据报道,该活动在2020年7月至10月之间生效,也可能针对亚洲的开发人员。研究人员表示,他们不知道野外还有其他恶意的Xcode项目,无法衡量这是否是一个重大问题。然而,有一些迹象表明,其他木马化的Xcode项目可能存在。
SentinelOne 在一篇博客文章中写道:“通过分享这次活动的细节,我们希望提高人们对这种攻击载体的认识,并强调开发人员是攻击者的高价值目标”。研究人员补充说,iOS Tab Bar项目的原始版本被称为TabBarInteraction,没有被篡改,可以从GitHub上安全下载。
SentinelOne 表示,所有苹果开发者都应该警惕第三方 Xcode 项目。该团队补充说,新的或没有经验的开发者可能不知道 Run Script 功能,特别容易受到攻击。建议所有苹果开发者在使用第三方 Xcode项目时,谨慎实践,检查是否有恶意的Run Scripts。开发人员应该在Build Phases选项卡中检查各个项目是否存在恶意Run Scripts。