Os pesquisadores de segurança descobriram um novo malware que tem como alvo os desenvolvedores do Xcode , usando os recursos de script da plataforma de codificação para instalar um backdoor nas máquinas afetadas.

O malware, apelidado de XcodeSpy, afeta o ambiente de desenvolvimento integrado (IDE) do Xcode no macOS . O Xcode é usado por desenvolvedores da Apple para criar aplicativos da App Store para iPhone , Mac e outros dispositivos.

De acordo com pesquisadores do SentinelLabs , malfeitores estão explorando o recurso Run Script no IDE para infectar desenvolvedores Apple usando projetos Xcode compartilhados.

O chamado “projeto Xcode trojanizado” atualmente infecta desenvolvedores de iOS em liberdade, disseram os pesquisadores. É uma versão adulterada de um projeto legítimo disponível no GitHub que oferece aos desenvolvedores iOS recursos avançados para animar a barra de guias do iOS.

Depois que o projeto Xcode malicioso é baixado e iniciado, ele instala uma variante personalizada do backdoor do EggShell com um mecanismo de persistência. Os pesquisadores dizem que o backdoor pode permitir que um invasor carregue ou baixe arquivos e grave o microfone, a câmera e o teclado da vítima.

Conforme mencionado anteriormente, o ataque depende do recurso Run Script do Xcode. O recurso permite que os desenvolvedores executem um script de shell personalizado ao iniciar uma instância de seu aplicativo. Ele está ofuscado porque não há indicação no console ou no depurador de que um script malicioso foi executado.

A SentinelOne afirma ter conhecimento de pelo menos um caso em uma organização dos Estados Unidos. A campanha estava supostamente em vigor entre julho e outubro de 2020, e também pode ter como alvo desenvolvedores na Ásia. Os pesquisadores afirmam que não sabem da existência de outros projetos maliciosos do Xcode e não podem avaliar se é um grande problema. No entanto, há algumas indicações de que outros projetos Xcode trojanizados podem existir.

“Ao compartilhar os detalhes desta campanha, esperamos aumentar a conscientização sobre esse vetor de ataque e destacar o fato de que os desenvolvedores são alvos de alto valor para os invasores”, escreveu o SentinelOne em uma postagem no blog.

A versão original do projeto iOS Tab Bar, apelidada de TabBarInteraction, não foi adulterada e pode ser baixada do GitHub com segurança, acrescentaram os pesquisadores.

Quem está em risco e como se proteger

SentinelOne diz que todos os desenvolvedores da Apple devem ser cautelosos com projetos Xcode de terceiros. A equipe acrescentou que os desenvolvedores novos ou inexperientes que podem não estar cientes do recurso Executar Script são especialmente vulneráveis. É recomendado que todos os desenvolvedores da Apple tenham cuidado e verifiquem se há Run Scripts maliciosos ao usar o Xcode Project de terceiros.

Os desenvolvedores devem inspecionar projetos individuais em busca de Run Scripts maliciosos na guia Build Phases. O SentinelOne tem mais informações sobre como detectar e mitigar a ameaça.

O Appledicas tem parcerias afiliadas e pode ganhar comissão sobre produtos adquiridos por meio de links afiliados. Essas parcerias não influenciam nosso conteúdo editorial.

Ofertas de Eletrônicos para auxiliar seus estudos