Вредоносное ПО XcodeSpy состоит из скрипта Run Script, добавленного в легитимный Xcode-проект TabBarInteraction.
https://www.securitylab.ru/upload/ib...7e0484d13d.jpg
Специалисты ИБ-компании SentinelOne рассказали о новом типе вредоносного ПО для macOS, которое используется в атаках на разработчиков iOS через троянизированные проекты Xcode.
Вредоносное ПО XcodeSpy состоит из Run Script, добавленного в легитимный Xcode-проект под названием TabBarInteraction. Этот вредоносный скрипт запускается при каждой разработке Xcode-проекта, устанавливает LaunchAgent для сохранения персистентности после перезагрузки системы, а затем загружает вторичную полезную нагрузку - macOS-бэкдор EggShell.
По словам экспертов, проанализировавших бэкдор, он обладает функциями записи аудио через микрофон устройства жертвы, а также записи видео и набранного текста на клавиатуре. Кроме того, EggShell позволяет загружать и выгружать файлы.
Хотя управляющая LaunchAgent инфраструктура серверов XcodeSpy была отключена, исследователю безопасности SentinelOne Филу Стоуксу (Phil Stokes) удалось найти несколько установок бэкдора EggShell, загруженных на VirusTotal.
Стоукс впервые узнал о бэкдоре от анонимного исследователя, обнаружившего его в сетях некой американской компании. Как сообщили представители компании, она регулярно подвергается кибератакам со стороны северокорейских APT-групп, и EggShell был обнаружен в процессе регулярных сканирований сети на признаки присутсвия в ней северокорейских хакеров. Однако, как отметил Стоукс, на 100% связать EggShell с северокорейскими APT-группами экспертам не удалось.
Основываясь на собранных в ходе расследования сведениях, специалисты считают, что злоумышленники были активны в период с июля по октябрь 2020 года и в первую очередь атаковали разработчиков из Азии.