XcodeSpy मैलवेयर

साइबर अपराधियों को आपूर्ति-श्रृंखला हमलों को तेजी से शुरू करने की दिशा में स्थानांतरित करने के लिए देखा गया है, क्योंकि यह धमकी भरा अभियान उन्हें एक विलक्षण प्रारंभिक इकाई से समझौता करते हुए कई संभावित पीड़ितों तक पहुंचने की अनुमति देता है। Infosec शोधकर्ताओं ने Apple डेवलपर्स के खिलाफ शुरू किए गए एक हमले अभियान का खुलासा किया है। धमकी देने वाले अभिनेता एप्पल की Xcode IDE में उपलब्ध रन स्क्रिप्ट सुविधा का दोहन करने के लिए ट्रोजनाइज्ड Xcode प्रोजेक्ट का प्रसार करते हैं। नए खतरे को दिया गया नाम XcodeSpy मैलवेयर है। XcodeSpy एक धमकी देने वाला Xcode प्रोजेक्ट है जो कि समझौता किए गए macOS सिस्टम पर एक EggShell पिछले दरवाजे को स्थापित करने के लिए डिज़ाइन किया गया है, जबकि इसकी लंबी उपस्थिति सुनिश्चित करने के लिए एक सतत तंत्र का निर्माण भी किया गया है। हैकर्स ने TabBarInteraction नामक एक वैध ओपन-सोर्स प्रोजेक्ट में XcodeSpy मैलवेयर को इंजेक्ट किया जो कि GitHub पर उपलब्ध है। कानूनी TabBarInteraction Xcode प्रोजेक्ट डेवलपर्स को iOS टैब बार और उपयोगकर्ता के साथ बातचीत करते समय उन्नत सुविधाओं तक पहुंच प्रदान करता है। हालांकि, XcodeSpy ले जाने वाले धमकी संस्करण को एक चालू रन स्क्रिप्ट को निष्पादित करने के लिए ट्वीक किया गया है जो कि जब भी डेवलपर के बिल्ड लक्ष्य को लॉन्च किया जाता है, तो इसे शुरू किया जाता है। बदले में, दूषित विभाजन हमलावरों द्वारा स्थापित कमांड-एंड-कंट्रोल (C2, C & C) बुनियादी ढांचे से संपर्क करता है और EggShell पिछले दरवाजे का एक कस्टम संस्करण प्राप्त करता है। इसके निष्पादन पर, पिछले दरवाजे की पहली कार्रवाई एक दृढ़ता तंत्र बनाना है। यह दो स्थानों में से एक LauncherAgent को गिरा देगा - ~ / पुस्तकालय / LaunchAgents / com.apple.usagestatistics.plist या ~ / लाइब्रेरी / LaunchAgents / com.apple.appstore.checkupdate.plist। मूल निष्पादन योग्य चल रहा है या नहीं यह निर्धारित करने के लिए 'प्लिस्ट' एक जाँच करेगा। यदि परिणाम नकारात्मक है, तो यह ~ / लाइब्रेरी / एप्लीकेशन सपोर्ट / com.apple.AppStore / .update पर स्थित एक तथाकथित 'मास्टर' संस्करण से फ़ाइल की एक प्रति प्राप्त और निष्पादित करेगा। एगशेल बैकडोर फिर अपनी मुख्य कार्यक्षमता शुरू करने के लिए आगे बढ़ेगा - लक्षित शिकार पर जासूसी। खतरा उपयोगकर्ता के माइक्रोफोन, कैमरा और कीबोर्ड से रिकॉर्डिंग बना सकता है। सभी एकत्र किए गए डेटा को एक दूरस्थ सर्वर पर भेजा जाएगा। पिछले दरवाजे भी खतरा अभिनेता को समझौता प्रणाली पर अतिरिक्त फ़ाइलों को छोड़ने की अनुमति देता है हालांकि XcodeSpy द्वारा नियोजित तकनीकें उतनी परिष्कृत नहीं हैं, लेकिन उन्हें किसी भी साझा किए गए Xcode प्रोजेक्ट में आसानी से समझौता स्क्रिप्ट चलाने के लिए दोहराया जा सकता है। Apple डेवलपर्स को सलाह दी जाती है कि वे किसी भी थर्ड-पार्टी Xcode प्रोजेक्ट की जाँच करें जिसे वे संदिग्ध या धमकी वाले रन स्क्रिप्स की उपस्थिति के लिए अपनाने की योजना बनाते हैं।