Trojanized Xcode项目针对野外发现的Apple开发人员

2021-03-19 03:41:53

已发现新的后门威胁,旨在危及苹果开发人员的MAC与Trojanized Xcode项目。此恶意软件可以记录受害者的麦克风,相机,键盘,以及上传/下载文件。在美国组织中发现了威胁的狂野示例中的第一个。

新的恶意Xcode项目是由Sentinel Labs(Via ARS Technica)发现的。研究人员命名为威胁“Xcodespy”,这是egkshell后门的自定义构建,以妥协麦克斯。

Trojanized Code隐藏为合法开源Xcode项目的Marlious副本,并通过利用Xcode IDE中的运行脚本功能来解决。 Sentinel Labs解释:

我们最近意识到野外的Trojanized Xcode项目,因为匿名研究人员的提示是讽刺意义。恶意项目是GitHub上可用的合法开源项目的致密版本。该项目提供IOS开发人员的几个高级功能,用于根据用户交互为IOS标签栏进行动画。

但是,XCodespy版本已被巧妙地更改为在启动开发人员的构建目标时执行混淆的运行脚本。该脚本与攻击者的C2联系,并在开发机上丢弃蛋壳后门的定制变体。恶意软件为持久性安装用户LableAgent,并且能够从受害者的麦克风,相机和键盘记录信息。

Sentinel Labs的研究人员已经发现了两个有效载荷的变体,到目前为止在美国组织内的野外案例中看到了一个。他们认为,恶意软件活动可能从7月到10月2020年10月开始,并说它现在的传播程度是未知的,但进一步的XCodespy项目可能在野外。

到目前为止我们无法发现其他特洛伊Xcode项目的样本,不能衡量此活动的范围。然而,来自已知样本的时间线和下面提到的其他指标表明可能存在其他XCodespy项目。通过分享这一活动的详细信息,我们希望提高对这次攻击载体的认识,并突出开发商是攻击者的高价值目标的事实。

虽然XCodespy可能被用作一小组苹果开发人员的目标攻击,但Sentinel Labs建议所有Apple开发人员检查并减轻恶意代码。 您可以在此处找到如何在此处(在检测和缓解部分下)找到逐步的路线。 您正在阅读9To5MAC - 在日复一日的日复一日地打破苹果及其周围生态系统的新闻的专家。 请务必查看我们的主页,以了解所有最新消息,然后在Twitter,Facebook和LinkedIn上关注9to5Mac以留在循环中。 不知道从哪里开始? 查看我们的独家故事,评论,How-TO,以及订阅我们的YouTube频道