トロイの木馬化されたXcodeプロジェクトを用いてApple開発者のMacを侵害しようとする新たなバックドア型脅威が発見されました。このマルウェアは、被害者のマイク、カメラ、キーボードを録音し、ファイルのアップロード/ダウンロードも行うことができます。この脅威の最初の実例は、米国の組織で確認されました。
新たな悪意あるXcodeプロジェクトは、Sentinel Labsによって発見されました(Ars Technica経由)。研究者らはこの脅威を「XcodeSpy」と名付けました。これは、macOSを侵害するためのEggShellバックドアのカスタムビルドです。
トロイの木馬化されたコードは、正規のオープンソースXcodeプロジェクトの悪意のあるレプリカとして隠れており、Xcode IDEのスクリプト実行機能を悪用して動作します。Sentinel Labsは次のように説明しています。
最近、匿名の研究者からの情報により、iOS開発者を標的としたトロイの木馬化されたXcodeプロジェクトが実際に存在していることが判明しました。この悪意のあるプロジェクトは、GitHubで公開されている正規のオープンソースプロジェクトを改ざんしたものです。このプロジェクトは、ユーザーの操作に基づいてiOSタブバーをアニメーション化する高度な機能をiOS開発者に提供しています。
しかし、XcodeSpyのバージョンは微妙に改変されており、開発者のビルドターゲットが起動されると、難読化された実行スクリプトが実行されます。このスクリプトは攻撃者のC2サーバーに接続し、開発マシンにEggShellバックドアのカスタム亜種をドロップします。マルウェアは永続化のためにユーザー用のLaunchAgentをインストールし、被害者のマイク、カメラ、キーボードからの情報を記録できます。
Sentinel Labsの研究者たちは、このペイロードの2つの亜種を発見しており、そのうち1つは米国の組織内で実際に確認されています。彼らは、このマルウェアキャンペーンは2020年7月から10月にかけて実行された可能性があると考えています。拡散範囲は現時点では不明ですが、XcodeSpy関連のプロジェクトがさらに存在する可能性があると述べています。
これまでのところ、トロイの木馬化されたXcodeプロジェクトの他のサンプルは発見されておらず、この活動の規模を測ることはできません。しかしながら、既知のサンプルのタイムラインや以下に示すその他の指標から、他にもXcodeSpyプロジェクトが存在する可能性が示唆されています。このキャンペーンの詳細を共有することで、この攻撃ベクトルへの意識を高め、開発者が攻撃者にとって非常に価値のある標的であるという事実を改めて認識していただければ幸いです。
XcodeSpyは少数のApple開発者を標的とした攻撃に利用された可能性がありますが、Sentinel LabsはすべてのApple開発者に対し、悪意のあるコードの確認と軽減を推奨しています。具体的な手順については、こちら(「検出と軽減」セクション)をご覧ください。
完全なレポートで XcodeSpy の完全な技術的詳細を確認してください。
yosjwsd.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
