Logiciel malveillant XcodeSpy

On a observé que les cybercriminels se tournaient vers le lancement régulier d'attaques de la chaîne d'approvisionnement, car cette campagne menaçante leur permet d'atteindre de nombreuses victimes potentielles tout en devant compromettre une entité initiale singulière. Les chercheurs d'Infosec ont découvert une campagne d'attaque lancée contre les développeurs Apple. Les acteurs de la menace exploitent la fonction Run Script disponible dans l'IDE Xcode d'Apple pour diffuser un projet Xcode Trojan. Le nom donné à la nouvelle menace est le malware XcodeSpy. XcodeSpy est un projet Xcode menaçant conçu pour établir une porte dérobée EggShell sur le système macOS compromis tout en créant un mécanisme persistant pour assurer sa présence prolongée là-bas. Les pirates ont injecté le malware XcodeSpy dans un projet open source légitime appelé TabBarInteraction qui est disponible sur GitHub. Le projet légitime TabBarInteraction Xcode permet aux développeurs d'accéder à des fonctionnalités avancées lors de l'animation de la barre d'onglets iOS et de son interaction avec l'utilisateur. La version menaçante contenant XcodeSpy, cependant, a été modifiée pour exécuter un script d'exécution obscurci qui est lancé chaque fois que la cible de construction du développeur est lancée. À son tour, le script corrompu contacte l'infrastructure de commande et de contrôle (C2, C&C) mise en place par les attaquants et récupère une variante personnalisée de la porte dérobée EggShell. Lors de son exécution, la première action de la porte dérobée est de créer un mécanisme de persistance. Il déposera un LauncherAgent dans l'un des deux emplacements - ~ / Library / LaunchAgents / com.apple.usagestatistics.plist ou ~ / Library / LaunchAgents / com.apple.appstore.checkupdate.plist. Le 'plist' effectuera une vérification pour déterminer si l'exécutable d'origine est en cours d'exécution. Si le résultat est négatif, il récupérera et exécutera une copie du fichier à partir d'une version dite «principale» située dans ~ / Library / Application Support / com.apple.AppStore / .update. La porte dérobée EggShell procèdera alors au lancement de sa fonctionnalité principale - l'espionnage de la victime ciblée. La menace peut créer des enregistrements à partir du microphone, de la caméra et du clavier de l'utilisateur. Toutes les données collectées seront exfiltrées vers un serveur distant. La porte dérobée permet également à l'acteur de la menace de déposer des fichiers supplémentaires sur le système compromis Bien que les techniques utilisées par XcodeSpy ne soient pas si sophistiquées, elles pourraient être répliquées pour exécuter facilement des scripts compromis dans n'importe quel projet Xcode partagé. Les développeurs Apple sont invités à vérifier tout projet Xcode tiers qu'ils envisagent d'adopter pour la présence de scripts d'exécution suspects ou menaçants.