XcodeSpy Malware

Cyberbrottslingar har observerats förskjutits mot att starta attacker i försörjningskedjan stadigt, eftersom denna hotfulla kampanj gör det möjligt för dem att nå många potentiella offer samtidigt som de måste kompromissa med en enskild initial enhet. Infosec-forskarna har avslöjat en attackkampanj mot Apple-utvecklare. Hotaktörerna utnyttjar funktionen Run Script som finns tillgänglig i Apples Xcode IDE för att sprida ett Trojanized Xcode Project. Namnet på det nya hotet är XcodeSpy-skadlig kod. XcodeSpy är ett hotande Xcode-projekt som är utformat för att skapa en EggShell-bakdörr på det komprometterade macOS-systemet samtidigt som det skapar en ihållande mekanism för att säkerställa dess långvariga närvaro där. Hackarna injicerade XcodeSpy-skadlig programvara i ett legitimt öppen källkodsprojekt som heter TabBarInteraction som är tillgängligt på GitHub. Det legitima TabBarInteraction Xcode-projektet ger utvecklare tillgång till avancerade funktioner när de animerar flikfältet i iOS och dess interaktion med användaren. Den hotfulla versionen med XcodeSpy har dock justerats för att utföra ett fördunklat Run-skript som initieras när utvecklarens byggmål lanseras. I sin tur kontakterar det skadade skriptet Command-and-Control (C2, C&C) -infrastrukturen som upprättats av angriparna och hämtar en anpassad variant av EggShell- bakdörren. Efter genomförandet är bakdörrens första åtgärd att skapa en uthållighetsmekanism. Det kommer att släppa en LauncherAgent på en av två platser - ~ / Library / LaunchAgents / com.apple.usagestatistics.plist eller ~ / Library / LaunchAgents / com.apple.appstore.checkupdate.plist. Plisten utför en kontroll för att avgöra om den ursprungliga körbara körningen. Om resultatet är negativt kommer det att hämta och köra en kopia av filen från en så kallad "master" -version som finns på ~ / Library / Application Support / com.apple.AppStore / .update. EggShell-bakdörren fortsätter sedan med att starta sin huvudfunktionalitet - spionera på det riktade offret. Hotet kan skapa inspelningar från användarens mikrofon, kamera och tangentbord. All insamlad data exfiltreras till en fjärrserver. Bakdörren tillåter också hotaktören att släppa ytterligare filer till det komprometterade systemet Även om teknikerna som används av XcodeSpy inte är så sofistikerade, kan de replikeras för att köra komprometterade skript i alla delade Xcode-projekt enkelt. Apples utvecklare rekommenderas att kontrollera XDP-projekt från tredje part som de planerar att anta för att det finns misstänkta eller hotande Run-skript.