XcodeSpy Malware

Cyberkriminelle er blevet observeret at skifte mod at igangsætte supply chain-angreb støt, da denne truende kampagne giver dem mulighed for at nå ud til adskillige potentielle ofre, samtidig med at de skal gå på kompromis med en enestående oprindelig enhed. Infosec-forskerne har afdækket en angrebskampagne, der blev lanceret mod Apple-udviklere. Trusselaktørerne udnytter funktionen Run Script, der er tilgængelig i Apples Xcode IDE til at sprede et Trojanized Xcode Project. Navnet på den nye trussel er XcodeSpy malware. XcodeSpy er et truende Xcode-projekt, der er designet til at etablere en EggShell-bagdør på det kompromitterede macOS-system, samtidig med at der oprettes en vedvarende mekanisme for at sikre dets langvarige tilstedeværelse der. Hackerne injicerede XcodeSpy-malware i et legitimt open source-projekt kaldet TabBarInteraction, der er tilgængeligt på GitHub. Det legitime TabBarInteraction Xcode-projekt giver udviklere adgang til avancerede funktioner, når de animerer iOS-fanelinjen og dens interaktion med brugeren. Den truende version, der bærer XcodeSpy, er imidlertid blevet tweaked for at udføre et tilsløret Run-script, der startes, når udviklerens build-mål lanceres. Til gengæld kontakter det ødelagte scrip Command-and-Control (C2, C&C) infrastrukturen, der er oprettet af angriberne, og henter en brugerdefineret variant af EggShell- bagdøren. Efter udførelsen er bagdørens første handling at skabe en persistensmekanisme. Det vil slippe en LauncherAgent et af to steder - ~ / Library / LaunchAgents / com.apple.usagestatistics.plist eller ~ / Library / LaunchAgents / com.apple.appstore.checkupdate.plist. 'Plisten' udfører en kontrol for at afgøre, om den originale eksekverbare kører. Hvis resultatet er negativt, henter og udfører det en kopi af filen fra en såkaldt 'master'-version, der findes på ~ / Library / Application Support / com.apple.AppStore / .update. EggShell bagdøren vil derefter fortsætte med at igangsætte dets vigtigste funktionalitet - spionere på det målrettede offer. Truslen kan skabe optagelser fra brugerens mikrofon, kamera og tastatur. Alle indsamlede data exfiltreres til en ekstern server. Bagdøren tillader også trusselsaktøren at droppe yderligere filer på det kompromitterede system Selvom de teknikker, der anvendes af XcodeSpy, ikke er så sofistikerede, kan de replikeres for let at køre kompromitterede scripts i ethvert delt Xcode-projekt. Apple-udviklere rådes til at kontrollere ethvert tredjeparts Xcode-projekt, de planlægger at vedtage, for tilstedeværelsen af mistænkelige eller truende Run Scripts.