XcodeSpy Malware

據觀察，網絡犯罪分子正朝著穩定地發起供應鏈攻擊的方向發展，因為這種威脅性的活動使他們可以觸及眾多潛在受害者，同時又必須妥協一個單一的初始實體。信息安全研究人員發現了針對蘋果開發人員的攻擊行動。威脅參與者利用Apple Xcode IDE中可用的運行腳本功能來傳播木馬Xcode項目。賦予新威脅的名稱是XcodeSpy惡意軟件。 XcodeSpy是一個具有威脅性的Xcode項目，旨在在受感染的macOS系統上建立EggShell後門，同時還創建持久機制以確保其在該系統中的長期存在。黑客將XcodeSpy惡意軟件注入到名為TabBarInteraction的合法開源項目中，該項目可在GitHub上獲得。合法的TabBarInteraction Xcode項目使開發人員在對iOS標籤欄及其與用戶的交互進行動畫處理時可以訪問高級功能。 但是，對帶有XcodeSpy的威脅版本進行了調整，以執行混淆的運行腳本，該腳本在開發人員的構建目標啟動時啟動。反過來，損壞的腳本會聯繫攻擊者設置的命令和控制（C2，C＆C）基礎結構，並獲取EggShell後門的自定義變體。一旦執行，後門的第一個動作就是創建一個持久性機制。它將在兩個位置之一放下LauncherAgent- 〜/ Library / LaunchAgents / com.apple.usagestatistics.plist或〜/ Library / LaunchAgents / com.apple.appstore.checkupdate.plist。 " plist"將執行檢查以確定原始可執行文件是否正在運行。如果結果是否定的，它將從位於〜/ Library / Application Support / com.apple.AppStore / .update的所謂"主"版本中獲取並執行文件的副本。 然後，EggShell後門將繼續啟動其主要功能-監視目標受害者。威脅可以通過用戶的麥克風，相機和鍵盤創建錄音。所有收集的數據將被洩漏到遠程服務器。後門還允許威脅參與者將其他文件拖放到受感染的系統上 儘管XcodeSpy所採用的技術不是很複雜，但是可以將它們複製以在任何共享的Xcode項目中輕鬆地運行受破壞的腳本。建議蘋果開發人員檢查他們計劃採用的任何第三方Xcode項目中是否存在可疑或威脅性的運行腳本。