Οι ερευνητές
ασφαλείας
της SentinelLabs εντόπισαν ένα
νέο κακόβουλο λογισμικό για τα
macOS
που στοχεύει
προγραμματιστές Xcode
και εκμεταλλεύεται τις δυνατότητες δημιουργίας σεναρίων της πλατφόρμας προγραμματισμού για να
εγκαταστήσει ένα
backdoor
σε στοχευμένα
συστήματα
.
Με το
όνομα
XcodeSpy
, το κακόβουλο λογισμικό στοχεύει στο περιβάλλον ανάπτυξης Xcode σε
macOS
που χρησιμοποιείται για τη δημιουργία εφαρμογών για το οικοσύστημα της
Apple
. Οι εισβολείς χρησιμοποιούν τη
λειτουργία
Run Scripts
στο IDE για να μολύνουν προγραμματιστές της
Apple
που κάνουν
χρήση
κοινών έργων Xcode.
Στην πραγματικότητα, ένα έργο Xcode κυκλοφορεί στο δίκτυο που περιέχει ένα
trojan
, το οποίο δεν είναι άλλη από μια τροποποιημένη έκδοση ενός νόμιμου έργου διαθέσιμο στο GitHub, το οποίο προσφέρει στους προγραμματιστές iOS ορισμένες προηγμένες λειτουργίες για την
κίνηση
της Tab Bar του iOS. Η αρχική έκδοση του πρότζεκτ iOS Tab Bar, που ονομάζεται
TabBarInteraction
, δεν έχει παραβιαστεί και είναι ασφαλές να την κατεβάσετε από το GitHub,
επισημαίνουν οι ερευνητές
.
Κατά τη
λήψη
και την έναρξη του πλαστογραφημένου έργου, ξεκινά την εγκατάσταση μιας παραλλαγής του
backdoor
EggShell μαζί με ένα σύστημα επιμονής. Αυτό το
backdoor
θα μπορούσε να επιτρέψει στους εισβολείς
να ανεβάσουν και να κατεβάσουν αρχεία
,
να καταγράψουν ό,τι γίνεται αντιληπτό από το μικρόφωνο και την κάμερα και να ενεργοποιήσουν το
keylogging
του πληκτρολογίου
.
Η
λειτουργία
Run Scripts
του Xcode, στην οποία βασίζεται η
επίθεση
, επιτρέπει στους προγραμματιστές να εκτελούν ένα σενάριο για το shell προσαρμοσμένο κατά την εκκίνηση μιας παρουσίας της εφαρμογής τους. Αυτή είναι μια συγκαλυμμένη εκτέλεση, επειδή δεν υπάρχει καμία ένδειξη στην κονσόλα ή στο πρόγραμμα εντοπισμού σφαλμάτων ότι αυτό έχει εκτελεστεί και / ή είναι κακόβουλο.
Οι ερευνητές του SentinelLabs ισχυρίζονται
ότι βρήκαν μια πραγματική υπόθεση σε μια αμερικανική
εταιρεία
της οποίας οι λεπτομέρειες δεν έχουν κοινοποιηθεί. Η εκστρατεία επίθεσης είχε πραγματοποιηθεί την περίοδο μεταξύ Ιουλίου και Οκτωβρίου του 2020 και φαίνεται ότι είχε στοχεύσει επίσης σε ασιατικούς προγραμματιστές. Οι ερευνητές ισχυρίζονται επίσης ότι δεν γνωρίζουν την ύπαρξη άλλων πλαστών έργων Xcode και ως εκ τούτου δεν έχουν αποδείξεις για να εκτιμήσουν πόσο σοβαρό μπορεί να είναι το πρόβλημα.
Το SentinelLabs συνιστά σε όλους τους προγραμματιστές της
Apple
να είναι προσεκτικοί σε έργα Xcode τρίτων
. Η πρόταση απευθύνεται ειδικά σε άπειρους προγραμματιστές που μπορεί να μην γνωρίζουν την ύπαρξη της λειτουργίας
Run Scripts
και τις ιδιαιτερότητές της. Τέλος, οι ερευνητές παροτρύνουν τους προγραμματιστές να είναι προσεκτικοί και να ελέγχουν για κακόβουλα σενάρια όταν κάνουν
χρήση
κοινών έργων Xcode τρίτων μερών, αναλύοντας την καρτέλα “Build Phases”.
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.