新型 XcodeSpy Mac 惡意軟件通過后門瞄準 Xcode 開發人員
未知的黑客一直在使用一種新的XcodeSpy Mac惡意軟件,以使用Apple Xcode集成開發環境的軟件開發人員為目標。
SentinelOne的研究人員發現了一系列涉及新XcodeSpy的攻擊,這些XcodeSpy用于提供自定義變種的后門,其后代名為EggShell。EggShell允許黑客監視用戶,從受害者的攝像頭,麥克風和鍵盤捕獲數據,以及上傳和下載文件,一位匿名研究人員通報了一個木馬化的Xcode項目,該項目在針對iOS開發人員的攻擊中被使用。該惡意項目是GitHub上提供的合法開源項目的受污染版本,GitHub實現了iOS選項卡欄動畫的高級功能。
“但是,在啟動開發人員的構建目標時,對XcodeSpy版本進行了微妙的更改,以執行模糊的運行腳本。該腳本與攻擊者的C2聯系,并在開發計算機上放置了EggShell后門的自定義變體。” 讀取SentinelOne發布的分析。“該惡意軟件安裝了一個用戶LaunchAgent以保持持久性,并能夠記錄受害者的麥克風,攝像頭和鍵盤中的信息。”
SentinelOne還報告稱,XcodeSpy于2020年末針對美國一家組織的攻擊,并且基于8月5日和10月13日上傳到VirusTotal的樣本,XcodeSpy也被用于針對日本開發人員的攻擊。
“如果后門是受害者而不是攻擊者上傳的(這一假設絕對不安全),這將表明第一個自定義的EggShell二進制文件可能是早期XcodeSpy示例的有效載荷。” 繼續分析。“但是,我們不能根據現有數據對這些猜測給予很大的信心。”
SentinelOne提供了有關惡意軟件的詳細信息以及這些攻擊的已知IoC的完整列表。
2015年,多家網絡安全公司檢測到一個名為XcodeGhost的惡意程序,該程序被用來“木馬”化數百個合法應用程序。研究人員證實,攻擊者感染了多個應用程序,包括流行的移動聊天應用程序微信和互聯網門戶網易的音樂應用程序。
盡管當時蘋果安全團隊做出了迅速反應,但安全公司FireEye仍在App Store中檢測到4,000多個受感染的應用程序。攻擊者通過誘使開發人員使用偽造的Apple Xcode,將惡意代碼嵌入到應用程序中。
