Срочно. Разработчики Apple стали жертвами нового вредоносного бэкдора EggShell
Разработчики Apple стали жертвами нового вредоносного бэкдора EggShell. Фото: Pixabay
Вредоносные проекты Xcode используются для взлома систем разработчиков и распространения пользовательских бэкдоров EggShell. ПО, получившее название XcodeSpy, нацелено на Xcode, интегрированную среду разработки (IDE), используемую в macOS для разработки программного обеспечения и приложений Apple.
Согласно исследованию, опубликованному SentinelLabs, функция Run Script в среде IDE используется в целевых атаках на разработчиков iOS с помощью троянских проектов Xcode, которые свободно распространяются в Интернете.
Законные проекты Xcode с открытым исходным кодом можно найти на GitHub. Однако в этом случае проекты XcodeSpy предлагают «расширенные функции» для анимации панелей вкладок iOS - и после загрузки и запуска начальной сборки развёртывается вредоносный сценарий для установки бэкдора EggShell.
Вредоносный проект, исследуемый исследователями, представляет собой скопированную версию TabBarInteraction , законного проекта, который не был взломан.
Сценарий выполнения среды IDE был незаметно изменён для подключения сервера управления и контроля (C2) злоумышленника к проекту разработчика. В частности, функция Apple IDE, которая позволяет развёртывать настраиваемые сценарии оболочки при запуске экземпляра приложения, является предметом злоупотреблений.
Затем сценарий обращается к C2, чтобы получить и загрузить настраиваемый вариант бэкдора EggShell, который устанавливает пользовательский агент LaunchAgent для сохранения.
Обнаружены два варианта EggShell, один из которых использует зашифрованную строку с XcodeSpy.
Бэкдор может захватить микрофон, камеру и клавиатуру разработчика жертвы, а также захватить и отправить файлы на C2 злоумышленника.
SentinelLabs сообщает, что по крайней мере одна организация в США подверглась атакам подобного рода. Предположительно несколько пострадавших находятся в Азии.
Образцы бэкдоров были загружены на VirusTotal 5 августа и 13 октября. XcodeSpy был впервые загружен 4 сентября, однако исследователи подозревают, что злоумышленник мог сам загрузить образец, чтобы проверить уровень обнаружения.
«Хотя XcodeSpy, по-видимому, напрямую нацелен на самих разработчиков, а не на продукты или клиенты разработчиков, от бэкдора рабочей среды разработчика до доставки вредоносного ПО пользователям программного обеспечения этого разработчика совсем немного», — говорят исследователи.— «Следовательно, всем разработчикам Apple рекомендуется проверять наличие вредоносных сценариев Run при внедрении сторонних проектов Xcode».
Комментариев пока не было