XcodeSpy是一种针对Mac开发者的新供应链攻击。
威胁行为者正在针对iOS开发者,推出一个名为XcodeSpy的Xcode项目。
Xcode是苹果公司创建的一个免费IDE应用程序,可以从Mac App Store下载。它允许开发人员创建旨在运行在macOS、iOS、iPadOS、watchOS和tvOS上的应用程序。它是一个合法的软件,任何为苹果生态系统构建软件的组织都可能广泛使用。
这款新的恶意软件是由 络安全公司SentinelOne的研究人员发现的,它通过Xcode渗透到Xcode用户中,与另一款名为XCSSET的恶意软件类似。
XcodeSpy伪装成GitHub上的一个合法软件项目。它基于合法的TabBarInteraction Xcode项目,这是GitHub上的一个开源项目,旨在为iOS开发者提供先进的动画用户界面功能。
最大的担忧是,引入开发者设备的恶意软件为攻击者创造了干扰开发合法软件的可能性,然后将这些软件分发给开发者的客户。为了了解这种攻击可能造成的潜在破坏,我们可以看看攻击者获得开发者机器访问权的最引人注目的案例。Sloarigate扰乱了开发过程。Sloarigate破坏了开发过程: Solarigate。对于希望获得广泛目标的威胁行为者来说,开发者是一个完美的目标。
当XcodeSpy项目在XCode中构建时,它会运行一个混淆的脚本,该脚本部署似乎是EggShell恶意软件的定制版本。该恶意软件通过Launchagent建立持久性,并打开一个远程shell到威胁行为者的服务器cralev[.]me,该服务器现已被下线。有一些证据表明,该恶意软件随后可以收集设备的数据,以及访问麦克风和摄像头。
作为一个脚本,它已经能够躲过许多常见安全工具的检测。当脚本从Xcode中执行时,恶意软件的父进程是Xcode,它经常为合法的开发目的启动脚本,因此很容易错过。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!