Xcode: il malware che colpisce gli sviluppatori Mac

MacOS è stato nuovamente infiltrato da malware che ha preso di mira gli sviluppatori che utilizzano l’ambiente di sviluppo integrato (IDE) Xcode.

Quest’anno ha messo in risalto due nuove tendenze inquietanti: il targeting degli sviluppatori e l’uso di attacchi alla supply chain per infettare vaste fasce di utenti.
Prendere di mira gli sviluppatori di software è il primo passo per attacchi di più alto livello, e un modo per farlo è abusare degli stessi strumenti di sviluppo necessari per svolgere questo lavoro.

Recentemente siamo venuti a conoscenza di un progetto Xcode con trojan incorporato destinato agli sviluppatori iOS grazie a un suggerimento di un ricercatore anonimo.
Il progetto dannoso è una versione modificata di un progetto legittimo e open source disponibile su GitHub, e offre agli sviluppatori iOS diverse funzionalità avanzate per animare la barra delle schede iOS in base all’interazione dell’utente.

La versione di XcodeSpy installa un utente LaunchAgent per la persistenza ed è in grado di registrare le informazioni dal microfono, dalla fotocamera e dalla tastiera della vittima.

Gli autori delle minacce hanno iniziato a creare versioni dannose di progetti popolari nella speranza di indurre gli sviluppatori a includerli nelle loro applicazioni.
Quando queste applicazioni vengono compilate, il componente dannoso infetterà il computer in un attacco alla supply chain.

Il malware chiamato XcodeSpy, è stato mascherato per fornire una variante personalizzata di una backdoor nota come EggShell che consente ai suoi creatori di spiare gli utenti ed è stato scoperta dai ricercatori di sicurezza IT di SentinelOne.

Questa backdoor può anche fornire agli autori delle minacce l’accesso per caricare e scaricare file, acquisire dati dalla fotocamera, dal microfono e dalla tastiera della vittima.

Il rapporto di SentinelOne afferma che sono venuti a conoscenza del malware da un ricercatore anonimo, ma la società si è anche imbattuta in XcodeSpy alla fine del 2020 negli Stati Uniti.

Sono state trovate prove incrociate che affermano come la campagna che coinvolge XcodeSpy sia partita a ottobre 2020, e il malware è stato anche distribuito in versione trojan di un progetto Xcode open source offerto agli sviluppatori iOS.

Inoltre i ricercatori ritengono che visto che questo non è il primo malware creato per colpire gli sviluppatori Xcode, è molto probabile che un altre minacce siano attive.

Nel 2015 una minaccia simile denominata XcodeGhost consentiva agli hacker di iniettare codice dannoso in centinaia di applicazioni legittime che utilizzavano versioni canaglia di Xcode scaricate dagli sviluppatori da siti Web di terze parti.

È possibile che XcodeSpy sia stato mirato a uno sviluppatore o gruppo specifico, ma ci sono altri potenziali scenari con vittime di così alto valore.

Il miglior Antivirus per Mac

Prova Mackeeper l’antivirus pensato per il Mac, scarica la versione di prova o acquistalo sul sito del produttore.

Download MacKeeperDownload MacKeeper

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *