iOS-девелоперы подверглись хакерской атаке через троянизированный Xcode-проект

При этом обнаружили угрозу слишком поздно — она уже была неактивна.

Специалисты по кибербезопасности компании SentinelOne обнаружили новый тип взлома для macOS, пишет BleepingComputer. Злоумышленники, используя заражённый легитимный проект Xcode, получали доступ к ноутбукам и компьютерам разработчиков.

TabBarInteraction со встроенным Run Script / Источник: BleepingComputer

Новую «заразу» назвали XcodeSpy. Она состояла из двух частей: проекта TabBarInteraction и добавленного в него Run Script.

Каждый раз, как iOS-девелопер запускал Xcode-проект, запускался скрипт, который устанавливал LaunchAgent. С его помощью злоумышленники сохраняли состояние вируса даже после перезагрузки устройства.

Затем загружался следующий этап — бэкдор EggShell. С его помощью можно было записывать аудио и видео через устройство жертвы, а также собирать информацию о набранном на нём тексте. EggShell умел ещё и загружать/выгружать файлы.

На момент обнаружения LaunchAgent, сетевая инфраструктура зловреда была отключена. Но специалисты всё же смогли найти несколько установок бэкдора EggShell, загруженных на VirusTotal.

Источник: BleepingComputer