安全研究人员发现针对iOS软件开发者的macOS恶意软件
SentinelOne 安全研究人员刚刚发现了一款针对 iOS 软件开发者的 macOS 恶意软件,并将之命名为 XcodeSpy 。这款在野外发现的恶意软件,旨在渗透苹果向开发者免费提供的 Xcode 开发工具。如果开发者用被感染的 Xcode 开发面向 iOS 等平台的应用程序,就很可能在不经意间将恶意项目代码也打包进去。
Xcode 是构建应用程序所需的所有文件、资源和信息的存储库。但安全研究人员在野外发现了一个试图在开发者 macOS 设备上安装高级监视型恶意软件的木马代码库。
具体说来是,问题出在合法开源的 TabBarInteraction 项目的副本上。正常情况下,开发者可借此轻松创建交互(比如为 iOS 选项卡添加动画效果)。
除了合法代码,XcodeSpy 还包含了一个模糊的“运行脚本”,会在开发者开始项目构建时被执行。在与攻击者控制的远程服务器进行联系后,还会下载并安装定制版本的 EggShell 。
所谓 EggShell,特指一种开放源代码的后门,可利用麦克风、摄像头和键盘,对目标用户展开相应的监视。
SentinelOne 安全公司研究人员 Phil Stokes 在周四发表的博客文章中指出,他们发现了两个定制化的 EggShell 变种。
两者都利用了来自日本的 Web 界面来上载至 VirusTotal,时间分别为 8 月 5 日和 10 月 13 日,且后续样本还于 2020 年末在美国受害者的 Mac 终端上被发现。
出于保密的需求,SentinelOne 目前无法提供有关野外攻击(ITW)事件的更多细节。但据受害者报告,他们很可能再次成为了朝方高级持续威胁(APT )攻击者的目标。
庆幸的是,到目前为止,研究人员仅留意到了来自美国一家组织的一个野外攻击案例。不过迹象分析表明,相关活动至少在 2020 年 7~10 月之间持续开展,且同样有可能针对亚洲地区的开发者。
此外两个月前,微软和谷歌研究人员均表示,有朝方背景的黑客,正在积极尝试感染安全研究人员的计算机。为赢得研究人员的信任,黑客甚至花费了数周时间,在 Twitter 上精心扮演了一个角色。