SentinelOne: biztonsági kutatók XcodeSpy néven fejlesztőket célzó kártevőt fedeztek fel

A SentinelOne által megosztott új jelentés szerint a fejlesztőknek az “XcodeSpy” nevű rosszindulatú projekt után kell kutatni. Ez az “EggShell” egyedi változatát telepíti a macOS rendszerű számítógépekre, amely révén hátsó kapun juthatnak be illetéktelenek a gépünkre.

Az Xcode egy kimondottan a fejlesztők számára készült alkalmazás, mely macOS-re ingyenesen érhető el. Az Apple által kiadott eszköz jelentősen megkönnyíti az alkalmazások fejlesztését mind iOS, mind pedig macOS platformra.

A TabBarInteraction egy ismeretlen forrású változatát (a hivatalos, eredeti verzió természetesen nem fertőzött!) letöltő fejlesztők az eredeti alkalmazás mellett egy rejtett, önállóan lefutó szkript fájlt is megkapnak a kóddal, amely letölti és telepíti az “EggShell” nyílt forráskódú hátsó ajtót. Ez képes a felhasználók utáni kémkedésre a mikrofonon, a kamerán és a billentyűzeten keresztül is, továbbá alkalmas a le- és feltöltött fájlok monitorozására is.

Értesülések szerint a kártevő két változatát először augusztusban, majd októberben töltötték fel Japánban, tehát ez egy olyan támadás, amely már egy jó ideje fertőzhetett.

Eddig sajnos nem sikerült felfedeznünk más mintákat a trójaival kiegészített Xcode projektekből, és nem tudjuk felmérni ennek a tevékenységnek a károkozását. Az ismert minták ütemezése és az alábbiakban említett egyéb mutatók azonban azt sugallják, hogy létezhetnek más XcodeSpy projektek is. A kutatási eredmények részleteinek megosztásával reméljük, hogy felhívjuk a figyelmet e támadási vektorra, és rávilágítunk arra, hogy a fejlesztők nagy értékű célpontok a támadók számára.

A SentinelOne tanácsa szerint az összes, Xcode-ot használó Apple-fejlesztőnek a jövőben még körültekintőbben kell eljárnia a megosztott Xcode-projektek használatakor, illetve azokat minden esetben csak a kód átnézése után célszerű lefordítani. Aki nem ért a fejlesztéshez, annak pedig egyáltalán nem javasolt ismeretlen, számára nem érthető kódot letöltenie, pláne azt lefordítania és lefuttatnia, főleg ha azt a hivatalos forrás helyett valami harmadik helyről tölti le.

Ezek még érdekelhetnek:


A Szifon.com-on megváltozott a hozzászólás rendszer, ezentúl az alábbi gombra kattintva tudsz véleményt alkotni. Bővebben itt olvashatsz erről.

Kérdésed lenne? Megosztanál valamit a többi olvasóval? Használd az új közösségi portálunkat!