1. XenForo 1.5.14 中文版——支持中文搜索!现已发布!查看详情
  2. Xenforo 爱好者讨论群:215909318 XenForo专区

科技 新型恶意软件利用恶意Xcode项目在开发者Mac上安装后门

本帖由 漂亮的石头2021-03-19 发布。版面名称:新闻聚焦

  1. 漂亮的石头

    漂亮的石头 版主 管理成员

    注册:
    2012-02-10
    帖子:
    488,438
    赞:
    48
    安全研究人员近日发现了针对 Xcode 开发者的全新恶意软件--XcodeSpy,它利用编码平台的脚本功能在受影响的设备上安装后门。开发者利用 Xcode 为 iPhone、iPad、Mac 等设备创建应用程序,而该恶意软件会感染 macOS 上的 Xcode 集成开发环境(IDE)。

    [​IMG]

    据 SentinelLabs 的安全专家表示,不良行为者正在利用 IDE 中的 Run Script 功能,感染使用共享 Xcode 项目的苹果开发者。研究人员表示已经有证据表明有黑客利用所谓的“trojanized Xcode project”(木马化 Xcode 项目)来感染 iOS 开发者。而该项目是 Github 上一个合法项目(为 iOS 开发者提供 iOS Tab Bar 动画化的高级功能)的篡改版本。​

    一旦恶意 Xcode 项目被下载并启动,它就会安装一个带有持久性机制的 EggShell 后门的定制变体。研究人员表示,该后门可以让攻击者上传或下载文件,并记录受害者的麦克风、摄像头和键盘。​

    如上文所述,该攻击依赖于 Xcode 中的 Run Script 功能。该功能允许开发人员在启动其应用程序的实例时运行一个自定义的 shell 脚本。它被混淆了,因为在控制台或调试器中没有任何迹象表明恶意脚本已被执行。​

    [​IMG]

    [​IMG]

    [​IMG]

    [​IMG]

    [​IMG]

    [​IMG]

    [​IMG]

    [​IMG]

    [​IMG]

    SentinelOne 表示,目前至少有一家美国组织遭到该恶意软件攻击。据报道,该活动在2020年7月至10月之间生效,也可能针对亚洲的开发人员。研究人员表示,他们不知道野外还有其他恶意的Xcode项目,无法衡量这是否是一个重大问题。然而,有一些迹象表明,其他木马化的Xcode项目可能存在。​

    SentinelOne 在一篇博客文章中写道:“通过分享这次活动的细节,我们希望提高人们对这种攻击载体的认识,并强调开发人员是攻击者的高价值目标”。研究人员补充说,iOS Tab Bar项目的原始版本被称为TabBarInteraction,没有被篡改,可以从GitHub上安全下载。​

    SentinelOne 表示,所有苹果开发者都应该警惕第三方 Xcode 项目。该团队补充说,新的或没有经验的开发者可能不知道 Run Script 功能,特别容易受到攻击。建议所有苹果开发者在使用第三方 Xcode项目时,谨慎实践,检查是否有恶意的Run Scripts。开发人员应该在Build Phases选项卡中检查各个项目是否存在恶意Run Scripts。​
     
正在加载...