XcodeSpyマルウェア

サイバー犯罪者は、サプライチェーン攻撃を着実に開始する方向にシフトしていることが観察されています。これは、この脅威的なキャンペーンにより、単一の初期エンティティを危険にさらしながら、多数の潜在的な被害者に到達できるためです。 infosecの研究者は、Apple開発者に対して開始された攻撃キャンペーンを発見しました。攻撃者は、AppleのXcode IDEで利用可能なスクリプトの実行機能を悪用して、トロイの木馬化されたXcodeプロジェクトを拡散します。新しい脅威に付けられた名前はXcodeSpyマルウェアです。 XcodeSpyは、侵害されたmacOSシステムにEggShellバックドアを確立すると同時に、そこに長期間存在することを保証する永続的なメカニズムを作成するように設計された、脅威となるXcodeプロジェクトです。ハッカーは、GitHubで入手可能なTabBarInteractionと呼ばれる正当なオープンソースプロジェクトにXcodeSpyマルウェアを注入しました。正当なTabBarInteractionXcodeプロジェクトにより、開発者はiOSタブバーとそのユーザーとの対話をアニメーション化するときに高度な機能にアクセスできます。 ただし、XcodeSpyを搭載した脅威のバージョンは、開発者のビルドターゲットが起動されるたびに開始される難読化された実行スクリプトを実行するように調整されています。次に、破損したスクリプトは、攻撃者によって設定されたコマンドアンドコントロール（C2、C＆C）インフラストラクチャに接続し、 EggShellバックドアのカスタムバリアントをフェッチします。バックドアの実行時の最初のアクションは、永続性メカニズムを作成することです。 LauncherAgentを2つの場所のいずれかにドロップします- 〜/ Library / LaunchAgents / com.apple.usagestatistics.plistまたは〜/ Library / LaunchAgents /com.apple.appstore.checkupdate.plist。 'plist'は、元の実行可能ファイルが実行されているかどうかを判断するためのチェックを実行します。結果が否定的な場合は、〜/ Library / Application Support / com.apple.AppStore /.updateにあるいわゆる「マスター」バージョンからファイルのコピーをフェッチして実行します。 その後、EggShellバックドアは、その主要な機能の開始に進みます-標的の犠牲者をスパイします。この脅威は、ユーザーのマイク、カメラ、キーボードから録音を作成する可能性があります。収集されたすべてのデータは、リモートサーバーに盗み出されます。バックドアを使用すると、攻撃者は侵害されたシステムに追加のファイルをドロップすることもできます。 XcodeSpyで採用されている手法はそれほど洗練されていませんが、複製して、共有Xcodeプロジェクトで侵害されたスクリプトを簡単に実行できます。 Apple開発者は、疑わしいまたは脅迫的なRun Scriptsの存在について、採用する予定のサードパーティのXcodeプロジェクトを確認することをお勧めします。