Троянизированный проект Xcode передает разработчикам Apple вредоносное ПО для MacOS

В рамках новой кампании злоумышленники объединяют вредоносное ПО для macOS в троянизированные проекты разработчиков Apple Xcode.

Киберпреступники нацеливаются на разработчиков Apple с помощью троянизированного проекта Xcode, который после запуска устанавливает бэкдор с возможностями шпионажа и кражи данных.

Xcode состоит из набора бесплатных открытых инструментов разработки программного обеспечения, разработанных Apple для создания программного обеспечения для macOS, iOS, iPadOS, watchOS и tvOS. Таким образом, любые приложения, созданные на основе проекта, автоматически включают вредоносный код.

Вредоносный проект Xcode, который исследователи называют XcodeSpy, устанавливает вариант известного бэкдора EggShell на компьютер разработчика с macOS. Этот бэкдор может записывать движения микрофона, камеры и клавиатуры жертвы, а также может выгружать и скачивать файлы.

«Вектор заражения XcodeSpy может использоваться другими злоумышленниками, и всем разработчикам Apple, использующим Xcode, рекомендуется проявлять осторожность при внедрении общих проектов Xcode», - сказал Фил Стоукс, исследователь из SentinelLabs в четверг.

Троянский проект Xcode

Троянизированный проект Xcode - это подделанная версия законного проекта с открытым исходным кодом, доступного на GitHub, под названием TabBarInteraction; этот проект предлагает разработчикам iOS несколько расширенных функций для анимации панели вкладок iOS на основе взаимодействия с пользователем. Следует отметить, что троянизированная версия является копией, а законный проект GitHub (и его разработчик) никоим образом не причастен к работе вредоносного ПО, подчеркнули исследователи.

Отредактированная версия проекта содержит обфусцированный скрипт на вкладке Build Phases. По словам исследователей, злоумышленники воспользовались этой вкладкой, потому что по умолчанию она не раскрывается, что позволяет ускользнуть незамеченным.

«XcodeSpy использует встроенную функцию Apple IDE, которая позволяет разработчикам запускать собственный сценарий оболочки при запуске экземпляра целевого приложения», - заявили исследователи. «Хотя эту технику легко идентифицировать при поиске, новые или неопытные разработчики, не знакомые с функцией Run Script, особенно подвержены риску, поскольку в консоли или отладчике нет индикации, указывающей на выполнение вредоносного сценария».

Когда запускается цель сборки разработчика, выполняется запутанный сценарий Run, который связывается с сервером управления и контроля (C2) злоумышленников перед тем, как отбросить пользовательский вариант бэкдора EggShell.

«Вредоносная программа устанавливает пользовательский LaunchAgent для сохранения и может записывать информацию с микрофона, камеры и клавиатуры жертвы», - заявили исследователи.

Вариант бэкдора EggShell

Исследователи обнаружили два варианта полезной нагрузки: один образец был загружен на VirusTotal 5 августа, а второй - 13 октября. Последний образец также был обнаружен в конце 2020 года на Mac.

«По соображениям конфиденциальности мы не можем предоставить дополнительную информацию об инциденте с ITW», - заявили они. «Тем не менее, жертва сообщила, что она неоднократно становилась объектом нападений северокорейских APT, и что инфекция обнаружилась в рамках их регулярной деятельности по поиску угроз».

Вектор атаки Xcode

Злоумышленники ранее использовали Xcode в качестве исходного вектора атаки для разработчиков платформы Apple. В 2015 году злоумышленники добавили вредоносный код (получивший название XcodeGhost) в ряд популярных приложений и нашли лазейку в сканировании кода Apple, чтобы поместить их в App Store.

А в августе была обнаружена кампания, нацеленная на пользователей Mac по распространению пакета вредоносных программ XCSSET, который может взламывать веб-браузер Safari и внедрять различные полезные нагрузки JavaScript. Было обнаружено, что заражение распространяется через проекты разработчиков Xcode.

В этой последней атаке исследователи заявили, что возможно, XcodeSpy нацелен на конкретных разработчиков, но они также могут собирать данные для будущих кампаний или пытаться собрать учетные данные AppleID для будущего использования.

«Хотя кажется, что XcodeSpy напрямую нацелен на самих разработчиков, а не на продукты или клиенты разработчиков, от бэкдора рабочей среды разработчика до доставки вредоносного ПО пользователям программного обеспечения этого разработчика совсем немного», - заявили исследователи.