חוקרי אבטחה גילו תוכנה זדונית חדשה המכוונתXcodeמפתחים על ידי שימוש בתכונות הסקריפט של פלטפורמת הקידוד כדי להתקין דלת אחורית על מכונות מושפעות.
התוכנה הזדונית, המכונה XcodeSpy, משפיעה על סביבת הפיתוח המשולבת Xcode (IDE) עלmacOS. Xcode משמש מפתחי אפל ליצירהApp Storeאפליקציות עבוראייפון,מק, ומכשירים אחרים.
לְפִיחוקרים ב- SentinelLabs, שחקנים גרועים מנצלים את תכונת ה-Run Script ב-IDE כדי להדביק מפתחי אפל באמצעות פרויקטים משותפים של Xcode.
מה שנקרא "פרויקט Xcode עם טרויאניות" נגוע כעת במפתחי iOS בטבע, אמרו החוקרים. זוהי גרסה מדוקדקת של פרויקט לגיטימי הזמין ב-GitHub שמציעiOSמפתחים תכונות מתקדמות להנפשת סרגל הכרטיסיות של iOS.
לאחר הורדה והפעלה של פרויקט Xcode הזדוני, הוא מתקין גרסה מותאמת אישית של הדלת האחורית של EggShell עם מנגנון התמדה. חוקרים אומרים שהדלת האחורית יכולה לאפשר לתוקף להעלות או להוריד קבצים ולהקליט את המיקרופון, המצלמה והמקלדת של הקורבן.
כפי שהוזכר קודם לכן, המתקפה מסתמכת על יכולת Run Script ב-Xcode. התכונה מאפשרת למפתחים להפעיל סקריפט מעטפת מותאם אישית בעת השקת מופע של האפליקציה שלהם. זה מעורפל כי אין שום אינדיקציה בקונסולה או באגים שסקריפט זדוני הופעל.
SentinelOne אומר שיש לו ידע על מקרה אחד לפחות בארגון אמריקאי. על פי הדיווחים, הקמפיין היה בתוקף בין יולי לאוקטובר 2020, וייתכן שגם הוא כוון למפתחים באסיה. החוקרים אומרים שהם לא מודעים לפרויקטים זדוניים אחרים של Xcode בטבע ואינם יכולים לאמוד אם מדובר בבעיה גדולה. עם זאת, יש כמה אינדיקציות לכך שפרויקטי Xcode אחרים עשויים להתקיים.
"על ידי שיתוף פרטים של מסע פרסום זה, אנו מקווים להעלות את המודעות לוקטור ההתקפה הזה ולהדגיש את העובדה שמפתחים הם יעדים בעלי ערך גבוה לתוקפים", כתב SentinelOne בפוסט בבלוג.
הגרסה המקורית של פרויקט ה-Tab Bar של iOS, המכונה TabBarInteraction, לא טופלה והיא בטוחה להורדה מ-GitHub, הוסיפו החוקרים.
מי בסיכון וכיצד להגן על עצמך
SentinelOne אומר שכל מפתחי אפל צריכים להיזהר מפרויקטי Xcode של צד שלישי. הצוות הוסיף כי מפתחים חדשים או חסרי ניסיון שאולי אינם מודעים לתכונת ההפעלה של סקריפט הם פגיעים במיוחד. מומלץ לכל מפתחי אפל לנהוג בזהירות ולבדוק אם יש סקריפטים זדוניים של הפעלה בעת שימוש ב-Xcode Project של צד שלישי.
מפתחים צריכים לבדוק פרויקטים בודדים עבור סקריפטים זדוניים של הפעלה בכרטיסייה שלבי בנייה. ל-SentinelOne ישמידע נוסףעל איתור והפחתת האיום.
