新型 XcodeSpy Mac 恶意软件通过后门瞄准 Xcode 开发人员

未知的黑客一直在使用一种新的XcodeSpy Mac恶意软件，以使用Apple Xcode集成开发环境的软件开发人员为目标。

SentinelOne的研究人员发现了一系列涉及新XcodeSpy的攻击，这些XcodeSpy用于提供自定义变种的后门，其后代名为EggShell。EggShell允许黑客监视用户，从受害者的摄像头，麦克风和键盘捕获数据，以及上传和下载文件，一位匿名研究人员通报了一个木马化的Xcode项目，该项目在针对iOS开发人员的攻击中被使用。该恶意项目是GitHub上提供的合法开源项目的受污染版本，GitHub实现了iOS选项卡栏动画的高级功能。

“但是，在启动开发人员的构建目标时，对XcodeSpy版本进行了微妙的更改，以执行模糊的运行脚本。该脚本与攻击者的C2联系，并在开发计算机上放置了EggShell后门的自定义变体。” 读取SentinelOne发布的分析。“该恶意软件安装了一个用户LaunchAgent以保持持久性，并能够记录受害者的麦克风，摄像头和键盘中的信息。”

SentinelOne还报告称，XcodeSpy于2020年末针对美国一家组织的攻击，并且基于8月5日和10月13日上传到VirusTotal的样本，XcodeSpy也被用于针对日本开发人员的攻击。

“如果后门是受害者而不是攻击者上传的（这一假设绝对不安全），这将表明第一个自定义的EggShell二进制文件可能是早期XcodeSpy示例的有效载荷。” 继续分析。“但是，我们不能根据现有数据对这些猜测给予很大的信心。”

SentinelOne提供了有关恶意软件的详细信息以及这些攻击的已知IoC的完整列表。

2015年，多家网络安全公司检测到一个名为XcodeGhost的恶意程序，该程序被用来“木马”化数百个合法应用程序。研究人员证实，攻击者感染了多个应用程序，包括流行的移动聊天应用程序微信和互联网门户网易的音乐应用程序。

尽管当时苹果安全团队做出了迅速反应，但安全公司FireEye仍在App Store中检测到4,000多个受感染的应用程序。攻击者通过诱使开发人员使用伪造的Apple Xcode，将恶意代码嵌入到应用程序中。