Los investigadores de ciberseguridad revelaron el jueves un nuevo ataque en el que los actores de amenazas están aprovechando Xcode como vector de ataque para comprometer a los desarrolladores de la plataforma Apple con una puerta trasera, lo que se suma a una tendencia creciente que implica atacar a los desarrolladores e investigadores con ataques maliciosos.
Apodado «XcodeSpy», el proyecto Xcode troyano es una versión contaminada de un proyecto legítimo de código abierto disponible en GitHub llamado TabBarInteraction que los desarrolladores utilizan para animar las barras de pestañas de iOS en función de la interacción del usuario.
«XcodeSpy es un proyecto Xcode malicioso que instala una variante personalizada de la puerta trasera EggShell en la computadora macOS del desarrollador junto con un mecanismo de persistencia», dijeron los investigadores de SentinelOne.
Xcode es el entorno de desarrollo integrado (IDE) de Apple para macOS, que se utiliza para desarrollar software para macOS, iOS, iPadOS, watchOS y tvOS.
A principios de este año, el grupo de análisis de amenazas de Google descubrió una campaña de Corea del Norte dirigida a investigadores de seguridad y desarrolladores de exploits, que implicaba compartir un proyecto de Visual Studio diseñado para cargar una DLL maliciosa en sistemas Windows.
El proyecto Xcode manipulado hace algo similar, solo que esta vez los ataques se han centrado en los desarrolladores de Apple.
Además de incluir el código original, XcodeSpy también contiene un script de ejecución ofuscado que se ejecuta cuando se inicia el objetivo de compilación del desarrollador. Luego, el script se comunica con un servidor controlado por el atacante para recuperar una variante personalizada de la puerta trasera EggShell en la máquina de desarrollo, que viene con capacidades para registrar información del micrófono, la cámara y el teclado de la víctima.
«XcodeSpy aprovecha una función integrada del IDE de Apple que permite a los desarrolladores ejecutar un script de shell personalizado al iniciar una instancia de su aplicación de destino», dijeron los investigadores. «Si bien la técnica es fácil de identificar si se busca, los desarrolladores nuevos o sin experiencia que no conocen la función Ejecutar script corren un riesgo particular, ya que no hay ninguna indicación en la consola o el depurador que indique la ejecución del script malicioso».
SentinelOne dijo que identificó dos variantes de la carga útil EggShell, con las muestras cargadas en VirusTotal desde Japón el 5 de agosto y el 13 de octubre del año pasado. Pistas adicionales apuntan a una organización estadounidense no identificada que se dice que fue atacada mediante esta campaña entre julio y octubre de 2020, y es probable que otros desarrolladores en Asia también sean atacados.
Los adversarios han recurrido previamente a ejecutables de Xcode contaminados (también conocido como XCodeGhost) para inyectar código malicioso en aplicaciones de iOS compiladas con el Xcode infectado sin el conocimiento de los desarrolladores, y aprovechan el uso de las aplicaciones infectadas para recopilar información de los dispositivos una vez que se descargan e instalan desde el Tienda de aplicaciones.
Luego, en agosto de 2020, los investigadores de Trend Micro descubrieron una amenaza similar que se propagó a través de proyectos Xcode modificados que, al construirse, se configuraron para instalar un malware de mac llamado XCSSET para robar credenciales, capturar capturas de pantalla, datos confidenciales de mensajería y aplicaciones para tomar notas. e incluso cifrar archivos a cambio de un rescate.
Al igual que XCSSET, XcodeSpy toma una ruta más fácil, ya que el objetivo parece ser atacar a los propios desarrolladores, aunque el objetivo final detrás de la explotación y la identidad del grupo detrás de él aún no están claros.
«Dirigirse a los desarrolladores de software es el primer paso para un ataque exitoso a la cadena de suministro. Una forma de hacerlo es abusar de las mismas herramientas de desarrollo necesarias para llevar a cabo este trabajo», dijeron los investigadores.
«Es muy posible que XcodeSpy haya estado dirigido a un desarrollador o grupo de desarrolladores en particular, pero existen otros escenarios potenciales con víctimas tan valiosas. Los atacantes podrían simplemente estar buscando objetivos interesantes y recopilando datos para futuras campañas, o podría estar intentando recopilar las credenciales de ID de Apple para usarlas en otras campañas que usan malware con firmas de código de desarrollador de Apple válidas».
