XcodeSpy Malware

据观察，网络犯罪分子正朝着稳定地发起供应链攻击的方向发展，因为这种威胁性的活动使他们可以触及众多潜在受害者，同时又必须妥协一个单一的初始实体。信息安全研究人员发现了针对苹果开发人员的攻击行动。威胁参与者利用Apple Xcode IDE中可用的运行脚本功能来传播木马Xcode项目。赋予新威胁的名称是XcodeSpy恶意软件。 XcodeSpy是一个具有威胁性的Xcode项目，旨在在受感染的macOS系统上建立EggShell后门，同时还创建持久机制以确保其在该系统中的长期存在。黑客将XcodeSpy恶意软件注入到名为TabBarInteraction的合法开源项目中，该项目可在GitHub上获得。合法的TabBarInteraction Xcode项目使开发人员在对iOS标签栏及其与用户的交互进行动画处理时可以访问高级功能。 但是，对带有XcodeSpy的威胁版本进行了调整，以执行混淆的运行脚本，该脚本在开发人员的构建目标启动时启动。反过来，损坏的脚本会联系攻击者设置的命令和控制（C2，C＆C）基础结构，并获取EggShell后门的自定义变体。一旦执行，后门的第一个动作就是创建一个持久性机制。它将在两个位置之一放下LauncherAgent- 〜/ Library / LaunchAgents / com.apple.usagestatistics.plist或〜/ Library / LaunchAgents / com.apple.appstore.checkupdate.plist。 " plist"将执行检查以确定原始可执行文件是否正在运行。如果结果是否定的，它将从位于〜/ Library / Application Support / com.apple.AppStore / .update的所谓"主"版本中获取并执行文件的副本。 然后，EggShell后门将继续启动其主要功能-监视目标受害者。威胁可以通过用户的麦克风，相机和键盘创建录音。所有收集的数据将被泄漏到远程服务器。后门还允许威胁参与者将其他文件拖放到受感染的系统上 尽管XcodeSpy所采用的技术不是很复杂，但是可以将它们复制以在任何共享的Xcode项目中轻松地运行受破坏的脚本。建议苹果开发人员检查他们计划采用的任何第三方Xcode项目中是否存在可疑或威胁性的运行脚本。