黑客用木马化的Xcode项目感染苹果应用程序开发者

星期四，网络安全研究人员披露了一个新的攻击，其中威胁演员正在利用XCODE作为攻击向量来破坏苹果平台开发者的后门，这增加了一个趋势，包括针对恶意攻击的开发者和研究人员。

被称为“XcodeSpy”的特洛伊木马化Xcode项目是GitHub上一个名为TabBarInteraction的合法开源项目的受污染版本，开发人员使用该项目根据用户交互设置iOS选项卡栏的动画。

SentinelOne的研究人员说：“XcodeSpy是一个恶意的Xcode项目，它在开发者的macOS计算机上安装了一个蛋壳后门的定制变体，并带有一个持久性机制。”。

Xcode是苹果针对macOS的集成开发环境（IDE），用于开发macOS、iOS、iPadOS、watchOS和tvOS的软件。

今年早些时候，谷歌的威胁分析小组发现了一场针对安全研究人员和漏洞开发者的朝鲜运动，该运动涉及共享一个旨在在Windows系统上加载恶意DLL的Visual Studio项目。

修改过的Xcode项目也做了类似的事情，只是这次攻击把苹果的开发人员挑出来了。

除了包含原始代码外，XcodeSpy还包含一个经过模糊处理的运行脚本，该脚本在开发人员的构建目标启动时执行。然后，该脚本与攻击者控制的服务器联系，在开发机器上检索蛋壳后门的自定义变体，该后门具有从受害者的麦克风、摄像头和键盘记录信息的功能。

研究人员说：“XcodeSpy利用了苹果IDE的内置功能，开发者可以在启动目标应用程序实例时运行自定义shell脚本。”。“虽然这种技术在寻找时很容易识别，但不知道运行脚本功能的新开发人员或缺乏经验的开发人员尤其面临风险，因为控制台或调试器中没有指示恶意脚本的执行情况。”

SentinelOne表示，他们发现了蛋壳有效载荷的两种变体，样本分别于去年8月5日和10月13日从日本上传至VirusTotal。其他线索指向一个未具名的美国组织，据说该组织在2020年7月至10月期间通过这一活动成为目标，亚洲的其他开发商也可能成为目标。

对手此前曾在开发人员不知情的情况下，利用受感染的Xcode可执行文件（又名XCodeGhost）向使用受感染的Xcode编译的iOS应用程序中注入恶意代码，并在从应用商店下载和安装后，使用受感染的应用程序从设备收集信息。

然后在2020年8月，Trend Micro的研究人员发现了一个类似的威胁，该威胁通过修改后的Xcode项目传播，这些项目在构建时被配置为安装一个名为XCSSET的mac恶意软件，以窃取凭证、截图、来自消息和笔记应用程序的敏感数据，甚至为索取赎金而加密文件。

与XCSSET一样，XcodeSpy采取了一条更简单的路线，因为其目标似乎是打击开发人员自己，尽管开发背后的最终目标以及背后团队的身份尚不清楚。

研究人员说：“针对软件开发人员是成功实施供应链攻击的第一步。这样做的一种方法是滥用执行这项工作所需的开发工具。”。

“XcodeSpy完全有可能是针对某个特定的开发人员或开发组的，但也存在其他可能的情况，这些高价值的受害者。攻击者可能只是在搜寻有趣的目标并为未来的活动收集数据，或者他们可能试图收集AppleID凭据，以便在n其他使用带有有效苹果开发者代码签名的恶意软件的活动。"