Срочно. Разработчики Apple стали жертвами нового вредоносного бэкдора EggShell

Разработчики Apple стали жертвами нового вредоносного бэкдора EggShell. Фото: Pixabay

Вредоносные проекты Xcode используются для взлома систем разработчиков и распространения пользовательских бэкдоров EggShell. ПО, получившее название XcodeSpy, нацелено на Xcode, интегрированную среду разработки (IDE), используемую в macOS для разработки программного обеспечения и приложений Apple.

Согласно исследованию, опубликованному SentinelLabs, функция Run Script в среде IDE используется в целевых атаках на разработчиков iOS с помощью троянских проектов Xcode, которые свободно распространяются в Интернете. 

Законные проекты Xcode с открытым исходным кодом можно найти на GitHub. Однако в этом случае проекты XcodeSpy предлагают «расширенные функции» для анимации панелей вкладок iOS - и после загрузки и запуска начальной сборки развёртывается вредоносный сценарий для установки бэкдора EggShell. 

Вредоносный проект, исследуемый исследователями, представляет собой скопированную версию TabBarInteraction , законного проекта, который не был взломан. 

Сценарий выполнения среды IDE был незаметно изменён для подключения сервера управления и контроля (C2) злоумышленника к проекту разработчика. В частности, функция Apple IDE, которая позволяет развёртывать настраиваемые сценарии оболочки при запуске экземпляра приложения, является предметом злоупотреблений. 

Затем сценарий обращается к C2, чтобы получить и загрузить настраиваемый вариант бэкдора EggShell, который устанавливает пользовательский агент LaunchAgent для сохранения.

Обнаружены два варианта EggShell, один из которых использует зашифрованную строку с XcodeSpy. 

Бэкдор может захватить микрофон, камеру и клавиатуру разработчика жертвы, а также захватить и отправить файлы на C2 злоумышленника.

SentinelLabs сообщает, что по крайней мере одна организация в США подверглась атакам подобного рода. Предположительно несколько пострадавших находятся в Азии.

Образцы бэкдоров были загружены на VirusTotal 5 августа и 13 октября. XcodeSpy был впервые загружен 4 сентября, однако исследователи подозревают, что злоумышленник мог сам загрузить образец, чтобы проверить уровень обнаружения. 

«Хотя XcodeSpy, по-видимому, напрямую нацелен на самих разработчиков, а не на продукты или клиенты разработчиков, от бэкдора рабочей среды разработчика до доставки вредоносного ПО пользователям программного обеспечения этого разработчика совсем немного», — говорят исследователи.— «Следовательно, всем разработчикам Apple рекомендуется проверять наличие вредоносных сценариев Run при внедрении сторонних проектов Xcode».