Nuovo malware per Mac prende di mira Xcode per installare una backdoor

Nuovo malware per Mac prende di mira Xcode per installare una backdoor

Il malware prende di mira gli sviluppatori Xcode che usano progetti recuperati dal web: installa una backdoor che può spiare l'utente e scambiare file

di pubblicata il , alle 15:01 nel canale Apple
 

I ricercatori di sicureza di SentinelLabs hanno individuato un nuovo malware per macOS che prende di mira gli sviluppatori Xcode e riesce a sfruttare le funzionalità di scripting della piattaforma di programmazione per installare una backdoor sui sistemi presi di mira.

Soprannominato XcodeSpy, il malware colpisce l'ambiente di sviluppo Xcode su macOS che viene utilizzato per creare app per l'ecosistema di Apple. Gli aggressori usano la funzione Run Scripts nell'IDE per infettare sviluppatori Apple che fanno uso di progetti Xcode condivisi.

Sulla rete circola infatti un progetto Xcode contenente un trojan, che altri non è se non una versione modificata di un progetto legittimo e disponibile su GitHub, che offre agli sviluppatori di iOS alcune funzionalità avanzate per l'animazione della Tab Bar di iOS. La versione originale del progetto iOS Tab Bar, denominata TabBarInteraction, non è stata manomessa ed è sicura da scaricare da GitHub, precisano i ricercatori.

Nuovo malware per Mac: attenzione ai progetti Xcode di terze parti

Quando il progetto contraffatto viene scaricato e avviato, esso lancia l'installazione di una variante della backdoor EggShell assieme ad un sistema di persistenza. Questa backdoor potrebbe consentire ai malintenzionati di caricare e scaricare file, registrare ciò che viene percepito dal microfono ed alla fotocamera e attivare il keylogging della tastiera.

La funzione Run Scripts di Xcode, su cui si basa l'attacco, consente agli sviluppatori di eseguire uno script per la shell personalizzato, all'avvio di un'istanza della loro applicazione. Si tratta di un'esecuzione offuscata perché non vi è alcuna indicazione nella console o nel debugger che esso sia stato eseguito e/o che sia dannoso.

I ricercatori di SentinelLabs affermano di aver riscontrato un caso reale in una realtà statunitense della quale non sono stati condivisi i dettagli. La campagna di attacco sarebbe stata portata avanti nel periodo tra luglio e ottobre del 2020 e sembrerebbe aver preso di mira anche sviluppatori asiatici. I ricercatori affermano inoltre di non essere a conoscenza dell'esistenza di altri progetti Xcode contraffatti e non hanno quindi elementi per valutare quale possa essere l'effettiva gravità del problema.

SentinelLabs raccomanda a tutti gli sviluppatori Apple di diffidare dei progetti Xcode di terze parti. La raccomandazione è in particolar modo indirizzata agli sviluppatori con poca esperienza che potrebbero non conoscere l'esistenza della funzione Run Scripts e delle sue particolarità. Infine i ricercatori esortano gli sviluppatori a prestare attenzione e verificare la presenza di script dannosi quando si fa uso di progetti Xcode condivisi di terze parti analizzando la scheda "Build Phases".
3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Marko_00120 Marzo 2021, 15:25 #1
"registrare ciò che viene percepito dal microfono ed alla fotocamera"
chi era quello che usava il nastro adesivo sul portatile?
oatmeal20 Marzo 2021, 16:26 #2
Originariamente inviato da: Marko_001
"registrare ciò che viene percepito dal microfono ed alla fotocamera"
chi era quello che usava il nastro adesivo sul portatile?



Zuckemberg
icoborg20 Marzo 2021, 17:00 #3
mua

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^