Los investigadores de seguridad advierten sobre un nuevo malware dirigido al entorno de desarrollo Xcode de Apple y, por lo tanto, a los desarrolladores de iOS y Mac: «Trojanized Xcode Project» se encontró en la naturaleza tratando de usar una herramienta de monitoreo de desarrollo de software utilizada en la Mac para la instalación, según informó seguridad empresa Sentinel One. El portón trasero, que se basa en la herramienta EggShell de código abierto, puede, después de una instalación exitosa, registrar las pulsaciones de teclas y activar el micrófono y la cámara, entre otras cosas.

Ejecute el script en el manipuliertem de Xcode-Projekt

El malware se entregó a través de una versión alterada del proyecto legítimo de Xcode TabBarInteraction, que se distribuye a través de Github, libre de malware. Como lo explica Sentinel One. El proyecto de código abierto tiene como objetivo ayudar a los desarrolladores a mover las barras de pestañas en las aplicaciones de iOS. Además del código original, la versión maliciosa también contenía un «texto operativo oculto». Se ejecuta durante el proceso de compilación y luego intenta comunicarse con el servidor de control para cargar y escapar del portón trasero.

El proyecto Xcode manipulado probablemente estuvo en circulación entre julio y octubre de 2020, y hubo al menos una infección en una empresa estadounidense, según la empresa de seguridad. También hay indicios de ataques de desarrolladores en Asia. Con el mando

Tu encuentras . - el nombre "proyecto.pbxproj" -print0 | xargs-0 awk '/ shellScript / && / EVAL / {print " 033[37m" $0 "33[31m" FILENAME}'

können Entwickler eine manuelle Suche nach Shell-Skripten in Xcode-Projekten durchführen, so die Sicherheitsforscher. Sie haben auch eine Liste mit Verzeichnissen und Dateien veröffentlicht, die ein «Indikator für eine Kompromittierung» sein können, da sich dies aber jederzeit leicht ändern könne, gebe das nur über eine zurückliegende Infektion Aufschluss. Einzelne Projekte lassen sich in Build-Phases-Reiter in Xcode auf Run Scripts inspizieren.

Entwickler als attraktives Ziel

El propósito de la infiltración del portón trasero sigue sin estar claro. Los investigadores de seguridad especulan que puede haber sido un ataque dirigido a algunos desarrolladores. Los desarrolladores son generalmente un objetivo interesante, por ejemplo, recopilar ID de Apple para distribuir malware. También sería razonable introducir de contrabando código malicioso en programas creados con Xcode de esta manera. Hace unos seis años, XcodeGhost causó revuelo: una versión alterada de Xcode aseguró el acceso de malware a la App Store, incluidas aplicaciones populares como WeChat.

(lbe)