Nuovo malware per Mac prende di mira Xcode per installare una backdoor

Another ICT Guy

Nuovo malware per Mac prende di mira Xcode per installare una backdoor

I ricercatori di sicureza di SentinelLabs hanno individuato un nuovo malware per macOS che prende di mira gli sviluppatori Xcode e riesce a sfruttare le funzionalità di scripting della piattaforma di programmazione per installare una backdoor sui sistemi presi di mira.

Soprannominato XcodeSpy, il malware colpisce l’ambiente di sviluppo Xcode su macOS che viene utilizzato per creare app per l’ecosistema di Apple. Gli aggressori usano la funzione Run Scripts nell’IDE per infettare sviluppatori Apple che fanno uso di progetti Xcode condivisi.

Sulla rete circola infatti un progetto Xcode contenente un trojan, che altri non è se non una versione modificata di un progetto legittimo e disponibile su GitHub, che offre agli sviluppatori di iOS alcune funzionalità avanzate per l’animazione della Tab Bar di iOS. La versione originale del progetto iOS Tab Bar, denominata TabBarInteraction, non è stata manomessa ed è sicura da scaricare da GitHub, precisano i ricercatori.

Nuovo malware per Mac: attenzione ai progetti Xcode di terze parti

Quando il progetto contraffatto viene scaricato e avviato, esso lancia l’installazione di una variante della backdoor EggShell assieme ad un sistema di persistenza. Questa backdoor potrebbe consentire ai malintenzionati di caricare e scaricare file, registrare ciò che viene percepito dal microfono ed alla fotocamera e attivare il keylogging della tastiera.

La funzione Run Scripts di Xcode, su cui si basa l’attacco, consente agli sviluppatori di eseguire uno script per la shell personalizzato, all’avvio di un’istanza della loro applicazione. Si tratta di un’esecuzione offuscata perché non vi è alcuna indicazione nella console o nel debugger che esso sia stato eseguito e/o che sia dannoso.

I ricercatori di SentinelLabs affermano di aver riscontrato un caso reale in una realtà statunitense della quale non sono stati condivisi i dettagli. La campagna di attacco sarebbe stata portata avanti nel periodo tra luglio e ottobre del 2020 e sembrerebbe aver preso di mira anche sviluppatori asiatici. I ricercatori affermano inoltre di non essere a conoscenza dell’esistenza di altri progetti Xcode contraffatti e non hanno quindi elementi per valutare quale possa essere l’effettiva gravità del problema.

SentinelLabs raccomanda a tutti gli sviluppatori Apple di diffidare dei progetti Xcode di terze parti. La raccomandazione è in particolar modo indirizzata agli sviluppatori con poca esperienza che potrebbero non conoscere l’esistenza della funzione Run Scripts e delle sue particolarità. Infine i ricercatori esortano gli sviluppatori a prestare attenzione e verificare la presenza di script dannosi quando si fa uso di progetti Xcode condivisi di terze parti analizzando la scheda “Build Phases”.

Fonte: http://feeds.hwupgrade.it/

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *