美国安全创业公司SentinelOne本周披露了一起锁定苹果开发者的攻击行动,黑客通过恶意的Xcode共享项目XcodeSpy,来入侵开发者的macOS计算机,进而植入EggShell后门程序,监控受害者的麦克风、摄影机与键盘,还能上传与下载资料。
Xcode为苹果所提供的集成开发环境(IDE),可用来打造支持macOS、iOS、iPadOS、watchOS及tvOS的程序,遭到黑客利用的是一个名为TabBarInteraction的合法Xcode项目,它是个开源项目,可协助开发人员根据用户的交互来替iOS的标签栏设计动画,但黑客却在TabBarInteraction中植入了恶意的脚本程序,只要一执行就会自黑客所控制的服务器下载,并安装定制化的EggShell后门程序。
研究人员把该嵌入恶意功能的项目称为XcodeSpy,同时强调Github上的TabBarInteraction是无毒的,而TabBarInteraction作者potato04也与该恶意行动无关。
分析显示,XcodeSpy滥用了Xcode内置的Run Script功能,该功能允许开发者可在激活应用程序实例时,执行一个定制化的介壳脚本程序,而XcodeSpy所植入的脚本程序就是通过该功能自远程服务器下载EggShell。
图片来源/SentinelOne
SentinelOne并未公布XcodeSpy传播的渠道,也不确定黑客的动机,猜测黑客可能锁定特定的开发者,或者是有价值的受害者,也可能只是想取得这些开发者的苹果凭证,以便之后的攻击。
去年也曾传出有恶意程序通过Xcode项目传播,而且该恶意程序还锁定了苹果的零时差漏洞。
XcodeSpy反映出近来黑客对开发人员的浓厚兴趣,它所部署的后门程序会监听开发者的键盘、麦克风与摄影机。