Un nouveau malware utilise un projet Xcode malveillant pour installer des portes dérobées sur les Mac de développement

Les chercheurs en sécurité ont découvert un nouveau malware qui cible les développeurs Xcode en utilisant les fonctionnalités de script de la plate-forme de codage pour installer une porte dérobée sur les machines affectées.

Le logiciel malveillant, baptisé XcodeSpy, affecte l’environnement de développement intégré (IDE) Xcode sur macOS. Xcode est utilisé par les développeurs Apple pour créer des applications App Store pour iPhone, Mac et autres appareils.

Selon des chercheurs de SentinelLabs, de mauvais acteurs exploitent la fonction Run Script de l’EDI pour infecter les développeurs Apple à l’aide de projets Xcode partagés.

Le soi-disant «projet Xcode trojanisé» est actuellement infecté par les développeurs iOS dans la nature, ont déclaré les chercheurs. Il s’agit d’une version trafiquée d’un projet légitime disponible sur GitHub qui offre aux développeurs iOS des fonctionnalités avancées pour animer la barre d’onglets iOS.

Une fois le projet Xcode malveillant téléchargé et lancé, il installe une variante personnalisée de la porte dérobée EggShell avec un mécanisme de persistance. Les chercheurs affirment que la porte dérobée pourrait permettre à un attaquant de télécharger ou de télécharger des fichiers et d’enregistrer le microphone, la caméra et le clavier d’une victime.

Comme mentionné précédemment, l’attaque repose sur la capacité Run Script dans Xcode. Cette fonctionnalité permet aux développeurs d’exécuter un script shell personnalisé lors du lancement d’une instance de leur application. Il est obscurci car il n’y a aucune indication dans la console ou le débogueur qu’un script malveillant a été exécuté.

SentinelOne affirme avoir connaissance d’au moins un cas dans une organisation américaine. La campagne aurait été en vigueur entre juillet et octobre 2020 et pourrait également viser des développeurs en Asie. Les chercheurs disent qu’ils ne sont pas au courant d’autres projets Xcode malveillants dans la nature et ne peuvent pas évaluer s’il s’agit d’un problème majeur. Cependant, il y a des indications que d’autres projets Xcode trojanized peuvent exister.

«En partageant les détails de cette campagne, nous espérons sensibiliser à ce vecteur d’attaque et souligner le fait que les développeurs sont des cibles de grande valeur pour les attaquants», a écrit SentinelOne dans un article de blog.

La version originale du projet iOS Tab Bar, baptisée TabBarInteraction, n’a pas été falsifiée et peut être téléchargée en toute sécurité depuis GitHub, ont ajouté les chercheurs.

Qui est à risque et comment se protéger

SentinelOne dit que tous les développeurs Apple doivent se méfier des projets Xcode tiers. L’équipe a ajouté que les développeurs nouveaux ou inexpérimentés qui ne connaissent peut-être pas la fonctionnalité Run Script sont particulièrement vulnérables. Il est recommandé à tous les développeurs Apple de faire preuve de prudence et de rechercher les scripts d’exécution malveillants lors de l’utilisation de Xcode Project tiers.

Les développeurs doivent inspecter les projets individuels à la recherche de scripts d’exécution malveillants dans l’onglet Phases de construction. SentinelOne a plus d’informations sur la détection et l’atténuation de la menace.

Articles Récents