iOS开发人员针对新的Xcodespy MacOS恶意软件

2021-03-19 05:03:53

安全研究人员已经发现了一种在野外使用的新类型的麦克斯恶意软件,以通过特洛克明的Xcode项目攻击iOS软件开发人员。

命名Xcodespy,恶意软件由恶意运行脚本组成,该脚本被添加到名为Tabbarinteraction的合法Xcode项目。

Sectiond公司Sentinelone,它在今天发布的报告中分析了恶意软件并与记录共享,表示,恶意脚本每次建造Xcode项目时都会进行,为重启持久性安装Launchent,然后下载第二个有效载荷,是名为EggShell的MacOS后门。

“后门有用于录制受害者的麦克风,相机和键盘的功能,以及上传和下载文件的能力,”麦索斯恶意软件研究员在Sentinelone麦斯卡尔斯岛麦斯库尔州。

虽然控制Launchent的XCodespy服务器基础架构下降,但Stokes表示,他们能够发现在Virustotal基于Web的恶意软件扫描仪上上传的蛋壳后门的几个实例。

Stokes表示,Sentinelone首先在匿名研究员的提示后首先了解到这种恶意软件,他在一家美国公司网络中找到了蛋壳后门的实例。

“受害者报告说,他们反复瞄准朝鲜APT演员,而感染者作为其定期威胁狩猎活动的一部分,”研究人员告诉他们的记录,他们无法明确将恶意软件联系到一个国家的行动超出了合理的怀疑。

“我们的出版动机的一部分是为了提高网络界的认识,希望收集更多的智能。鉴于我们目前的有限数据,我们不能对威胁演员进行任何结论,“Stokes在电子邮件中讲述了记录。

基于可用的证据,SentineLone在调查期间收集,该公司认为,这项运动背后的威胁演员最有可能在2020年7月和10月至10月至10月之间积极活跃,可能主要有针对亚洲的开发商。

其他细节仍然是未知的,但Stokes现在正在敦促所有Macos开发人员检查他们的Xcode项目是否存在恶意运行脚本。

SentIneLone团队还提供了一个简单的终端命令,可以帮助MacOS软件Devs在其项目中找到恶意Xcodespy运行脚本的痕迹。

找 。 - name" project.pbxproj" -print0 | Xargs -0 awk' / shellscript /&& / eval / {print" \ 033 [37m" $ 0" \ 033 [31M"文件名}}'

但XCodespy广告系列是近年来潮流的延续,威胁演员经常使用Boobytreped Xcode项目攻击iOS和麦斯科斯开发人员。

以前使用Xcode项目来感染开发人员的恶意软件支持包括XCSSet的喜欢,由2018年趋势科技,仍然活跃,XcodeGhost于2015年被帕洛阿托网络发现,当它感染了数千名开发人员时。