骇客在合法Xcode专案TabBarInteraction植入恶意脚本程序,只要开发者一执行就会自骇客所控制的服务器下载安装后门程序
美国网络安全新创SentinelOne本周揭露了一起锁定苹果开发者的攻击行动,骇客透过恶意的Xcode共享专案XcodeSpy,来入侵开发者的macOS电脑,进而植入EggShell后门程序,监控受害者的麦克风、摄影机与键盘,还能上传与下载资料。
Xcode为苹果所提供的集成开发环境(IDE),可用来打造支持macOS、iOS、iPadOS、watchOS及tvOS的程序,遭到骇客利用的是一个名为TabBarInteraction的合法Xcode专案,它是个开源专案,可协助开发人员根据使用者的互动来替iOS的标签栏设计动画,但骇客却在TabBarInteraction中植入了恶意的脚本程序,只要一执行就会自骇客所控制的服务器下载,并安装客制化的EggShell后门程序。
研究人员把此一嵌入恶意功能的专案称为XcodeSpy,同时强调Github上的TabBarInteraction是无毒的,而TabBarInteraction作者potato04亦与此一恶意行动无关。
分析显示,XcodeSpy滥用了Xcode内建的Run Script功能,此一功能允许开发者可在启用应用程序实例时,执行一个客制化的介壳脚本程序,而XcodeSpy所植入的脚本程序就是透过该功能自远端服务器下载EggShell。
SentinelOne并未公布XcodeSpy散布的管道,亦不确定骇客的动机,猜测骇客可能锁定特定的开发者,或者是有价值的受害者,也可能只是想取得这些开发者的苹果凭证,以利之后的攻击。
去年也曾传出有恶意程序透过Xcode专案散布,而且该恶意程序还锁定了苹果的零时差漏洞。
XcodeSpy反映出近来骇客对开发人员的浓厚兴趣,它所部署的后门程序会侧录开发者的键盘、麦克风与摄影机,而今年初包括Google与微软都曾提出警告,韩国骇客正锁定网络安全研究人员展开攻击,他们发现的两起攻击都是为了窃取开发者系统上的资料,被归类为间谍行动。