Исследователи из компании SentinelOne обнаружили Mac-малварь XcodeSpy, которая распространяется через троянизированные проекты Xcode и предназначена для атак на iOS-разработчиков.
XcodeSpy содержит вредоносный Run Script, который был интегрирован в копию легитимного Xcode-проекта под названием TabBarInteraction. Этот скрипт запускается каждый раз при билде проекта Xcode, устанавливая LaunchAgent для устойчивого присутствия в системе, а затем загружая второй пейлоад — бэкдор для macOS под названием EggShell.
Хотя серверная инфраструктура XcodeSpy, которая контролировала LaunchAgent, не работала, исследователи пишут, что им удалось обнаружить несколько экземпляров бэкдора EggShell, загруженных на VirusTotal. Оба были загружены на VirusTotal из Японии, первый — 5 августа, второй — 13 октября прошлого года.
find . -name "project.pbxproj" -print0 | xargs -0 awk '/shellScript/ && /eval/{print "\033[37m" $0 "\033[31m" FILENAME}'
Хакер.ру
XcodeSpy содержит вредоносный Run Script, который был интегрирован в копию легитимного Xcode-проекта под названием TabBarInteraction. Этот скрипт запускается каждый раз при билде проекта Xcode, устанавливая LaunchAgent для устойчивого присутствия в системе, а затем загружая второй пейлоад — бэкдор для macOS под названием EggShell.
Хотя серверная инфраструктура XcodeSpy, которая контролировала LaunchAgent, не работала, исследователи пишут, что им удалось обнаружить несколько экземпляров бэкдора EggShell, загруженных на VirusTotal. Оба были загружены на VirusTotal из Японии, первый — 5 августа, второй — 13 октября прошлого года.
Эксперты SentinelOne узнали об этой малвари по наводке анонимного исследователя, который обнаружил бэкдор EggShell в сети неназванной компании в США. По словам исследователей, жертвы одной из атак рассказали, что они неоднократно становились мишенями северокорейских хак-групп, хотя заражение EggShell все же не удалось связать с каким-либо конкретным государством. Судя по всему, злоумышленники, стоящие за этой кампанией, были активны в период с июля по октябрь 2020 года и, похоже, в первую очередь них интересовали разработчики из Азии.
Аналитики SentinelOne приложили к своему отчету простую команду, которая может помочь разработчикам выявить следы активности вредоносных скриптов XcodeSpy в своих проектах:
find . -name "project.pbxproj" -print0 | xargs -0 awk '/shellScript/ && /eval/{print "\033[37m" $0 "\033[31m" FILENAME}'
Хакер.ру