研究:駭客又在合法的蘋果Xcode專案上植入惡意程式

駭客在合法Xcode專案TabBarInteraction植入惡意腳本程式,只要開發者一執行就會自駭客所控制的伺服器下載安裝後門程式

情境示意圖,圖片來源/蘋果

美國資安新創SentinelOne本周揭露了一起鎖定蘋果開發者的攻擊行動,駭客透過惡意的Xcode共享專案XcodeSpy,來入侵開發者的macOS電腦,進而植入EggShell後門程式,監控受害者的麥克風、攝影機與鍵盤,還能上傳與下載資料。

Xcode為蘋果所提供的集成開發環境(IDE),可用來打造支援macOS、iOS、iPadOS、watchOS及tvOS的程式,遭到駭客利用的是一個名為TabBarInteraction的合法Xcode專案,它是個開源專案,可協助開發人員根據使用者的互動來替iOS的標籤欄設計動畫,但駭客卻在TabBarInteraction中植入了惡意的腳本程式,只要一執行就會自駭客所控制的伺服器下載,並安裝客製化的EggShell後門程式。

研究人員把此一嵌入惡意功能的專案稱為XcodeSpy,同時強調Github上的TabBarInteraction是無毒的,而TabBarInteraction作者potato04亦與此一惡意行動無關。

分析顯示,XcodeSpy濫用了Xcode內建的Run Script功能,此一功能允許開發者可在啟用應用程式實例時,執行一個客製化的介殼腳本程式,而XcodeSpy所植入的腳本程式就是透過該功能自遠端伺服器下載EggShell。

圖片來源/SentinelOne

SentinelOne並未公布XcodeSpy散布的管道,亦不確定駭客的動機,猜測駭客可能鎖定特定的開發者,或者是有價值的受害者,也可能只是想取得這些開發者的蘋果憑證,以利之後的攻擊。

去年也曾傳出有惡意程式透過Xcode專案散布,而且該惡意程式還鎖定了蘋果的零時差漏洞。

XcodeSpy反映出近來駭客對開發人員的濃厚興趣,它所部署的後門程式會側錄開發者的鍵盤、麥克風與攝影機,而今年初包括Google與微軟都曾提出警告,北韓駭客正鎖定資安研究人員展開攻擊,他們發現的兩起攻擊都是為了竊取開發者系統上的資料,被歸類為間諜行動。

資料來源:iThome

向上滑動