Οι ερευνητές ασφαλείας της SentinelLabs εντόπισαν ένα νέο κακόβουλο λογισμικό για τα macOS που στοχεύει προγραμματιστές Xcode και εκμεταλλεύεται τις δυνατότητες δημιουργίας σεναρίων της πλατφόρμας προγραμματισμού για να εγκαταστήσει ένα backdoor σε στοχευμένα συστήματα.
Με το όνομα XcodeSpy, το κακόβουλο λογισμικό στοχεύει στο περιβάλλον ανάπτυξης Xcode σε macOS που χρησιμοποιείται για τη δημιουργία εφαρμογών για το οικοσύστημα της Apple. Οι εισβολείς χρησιμοποιούν τη λειτουργία Run Scripts στο IDE για να μολύνουν προγραμματιστές της Apple που κάνουν χρήση κοινών έργων Xcode.
Στην πραγματικότητα, ένα έργο Xcode κυκλοφορεί στο δίκτυο που περιέχει ένα trojan, το οποίο δεν είναι άλλη από μια τροποποιημένη έκδοση ενός νόμιμου έργου διαθέσιμο στο GitHub, το οποίο προσφέρει στους προγραμματιστές iOS ορισμένες προηγμένες λειτουργίες για την κίνηση της Tab Bar του iOS. Η αρχική έκδοση του πρότζεκτ iOS Tab Bar, που ονομάζεται TabBarInteraction, δεν έχει παραβιαστεί και είναι ασφαλές να την κατεβάσετε από το GitHub, επισημαίνουν οι ερευνητές.
Κατά τη λήψη και την έναρξη του πλαστογραφημένου έργου, ξεκινά την εγκατάσταση μιας παραλλαγής του backdoor EggShell μαζί με ένα σύστημα επιμονής. Αυτό το backdoor θα μπορούσε να επιτρέψει στους εισβολείς να ανεβάσουν και να κατεβάσουν αρχεία, να καταγράψουν ό,τι γίνεται αντιληπτό από το μικρόφωνο και την κάμερα και να ενεργοποιήσουν το keylogging του πληκτρολογίου.
Η λειτουργία Run Scripts του Xcode, στην οποία βασίζεται η επίθεση, επιτρέπει στους προγραμματιστές να εκτελούν ένα σενάριο για το shell προσαρμοσμένο κατά την εκκίνηση μιας παρουσίας της εφαρμογής τους. Αυτή είναι μια συγκαλυμμένη εκτέλεση, επειδή δεν υπάρχει καμία ένδειξη στην κονσόλα ή στο πρόγραμμα εντοπισμού σφαλμάτων ότι αυτό έχει εκτελεστεί και / ή είναι κακόβουλο.
Οι ερευνητές του SentinelLabs ισχυρίζονται ότι βρήκαν μια πραγματική υπόθεση σε μια αμερικανική εταιρεία της οποίας οι λεπτομέρειες δεν έχουν κοινοποιηθεί. Η εκστρατεία επίθεσης είχε πραγματοποιηθεί την περίοδο μεταξύ Ιουλίου και Οκτωβρίου του 2020 και φαίνεται ότι είχε στοχεύσει επίσης σε ασιατικούς προγραμματιστές. Οι ερευνητές ισχυρίζονται επίσης ότι δεν γνωρίζουν την ύπαρξη άλλων πλαστών έργων Xcode και ως εκ τούτου δεν έχουν αποδείξεις για να εκτιμήσουν πόσο σοβαρό μπορεί να είναι το πρόβλημα.
Το SentinelLabs συνιστά σε όλους τους προγραμματιστές της Apple να είναι προσεκτικοί σε έργα Xcode τρίτων. Η πρόταση απευθύνεται ειδικά σε άπειρους προγραμματιστές που μπορεί να μην γνωρίζουν την ύπαρξη της λειτουργίας Run Scripts και τις ιδιαιτερότητές της. Τέλος, οι ερευνητές παροτρύνουν τους προγραμματιστές να είναι προσεκτικοί και να ελέγχουν για κακόβουλα σενάρια όταν κάνουν χρήση κοινών έργων Xcode τρίτων μερών, αναλύοντας την καρτέλα “Build Phases”.
