Các hacker lây nhiễm cho các nhà phát triển ứng dụng của Apple bằng Trojanized Xcode Projects.



Các nhà nghiên cứu an ninh mạng hôm thứ Năm đã tiết lộ thông tin về một cuộc tấn công mới, trong đó các hacker đang tận dụng Xcode như  là một attack vector để xâm phạm các nhà phát triển nền tảng Apple bằng  một backdoor, góp phần tăng thêm xu hướng nhắm mục tiêu vào các nhà phát triển và nhà nghiên cứu bằng malicious attacks..

Được đặt tên là “XcodeSpy”, the Trojanized Xcode project là một phiên bản di truyền của một open-source project , tin cậy có  trên GitHub , tên là TabBarInteraction được các nhà phát triển sử dụng để tạo hoạt ảnh cho các thanh tab iOS dựa trên tương tác của người dùng.

Các nhà nghiên cứu của SentinelOne cho biết: “XcodeSpy là Xcode project độc ​​hại , cài đặt một biến thể tùy chỉnh của EggShell backdoor trên máy tính macOS của nhà phát triển cùng với Persistence Mechanism.

Xcode là integrated development environment (IDE) của Apple dành cho macOS, được sử dụng để phát triển phần mềm cho macOS, iOS, iPadOS, watchOS và tvOS.

Đầu năm nay, nhóm Google Threat Analysis  đã phát hiện ra một kế hoạch của Triều Tiên nhắm vào các nhà nghiên cứu bảo mật, liên quan đến việc chia sẻ Visual Studio project được thiết kế để chạy một DLL độc hại trên hệ thống Windows.

The Doctored Xcode project thực hiện một điều gì đó tương tự, chỉ lần này các cuộc tấn công chỉ chọn ra các nhà phát triển của Apple.

 

Bên cạnh việc bao gồm mã gốc, XcodeSpy cũng chứa một  obfuscated Run Script được thực thi khi mục tiêu của nhà phát triển được khởi chạy. Sau đó, tập lệnh liên hệ với máy chủ do kẻ hacker  kiểm soát để lấy một biến thể tùy chỉnh của EggShell backdoor trên Development Machine, đi kèm với khả năng ghi lại thông tin từ micrô, máy ảnh và bàn phím của nạn nhân.

Các nhà nghiên cứu cho biết: “XcodeSpy tận dụng của một tính năng tích hợp trong IDE của Apple, cho phép các nhà phát triển chạy một tập lệnh shell tùy chỉnh khi khởi chạy một phiên bản của ứng dụng mục tiêu của họ,” các nhà nghiên cứu cho biết. “Mặc dù kỹ thuật này rất dễ xác định nếu được tìm kiếm, nhưng các nhà phát triển mới hoặc thiếu kinh nghiệm không biết về tính năng Run Script đặc biệt gặp rủi ro vì không có dấu hiệu trong bảng điều khiển hoặc trình gỡ lỗi để chỉ ra việc thực thi tập lệnh độc hại.”

SentinelOne cho biết họ đã xác định được hai biến thể của EggShell payload, với các mẫu được tải lên VirusTotal từ Nhật Bản vào ngày 5 tháng 8 và ngày 13 tháng 10 năm ngoái. Các manh mối bổ sung ám chỉ rằng một tổ chức Hoa Kỳ giấu tên được cho là đã bị  nhắm tới bằng cách sử dụng chiến dịch này từ tháng 7 đến tháng 10 năm 2020, với các nhà phát triển khác ở châu Á cũng có khả năng chỉ mũi tên tới lượt mình.

Những hacker trước đây đã sử dụng các tệp  Xcode executables bị nhiễm mã độc (hay còn gọi là XCodeGhost) để đưa mã độc vào các ứng dụng iOS được biên dịch bằng Xcode bị nhiễm mà nhà phát triển không biết ,và sau đó sử dụng các ứng dụng bị nhiễm độc để thu thập thông tin từ các thiết bị. Một khi chúng được tải xuống và cài đặt từ App Store.

Sau đó vào tháng 8 năm 2020, các nhà nghiên cứu từ Trend Micro phát hiện ra một Modified Xcode projects ,trong khi đang xây dựng, đã được định cấu hình để cài đặt malware Mac có tên là XCSSET để lấy cắp thông tin đăng nhập, chụp ảnh màn hình, dữ liệu nhạy cảm từ ứng dụng nhắn tin và ghi chú, và thậm chí mã hóa các tệp để đòi tiền chuộc.

Nhưng ngược lại, XcodeSpy có một con đường dễ dàng hơn, vì mục tiêu dường như là tấn công chính các nhà phát triển, mặc dù mục tiêu cuối cùng đằng sau việc khai thác và danh tính của nhóm đằng sau tới nay vẫn chưa được tiết lộ.

Các nhà nghiên cứu cho biết: “Nhắm mục tiêu các nhà phát triển phần mềm là bước đầu tiên trong một cuộc supply chain attack thành công. Một cách để làm như vậy là lạm dụng các công cụ phát triển cần thiết để thực hiện việc này”, các nhà nghiên cứu cho biết.

“Hoàn toàn có khả năng XcodeSpy có thể đã bị  nhắm mục tiêu vào một nhà phát triển hoặc một nhóm nhà phát triển cụ thể, nhưng có những trường hợp khác với những nạn nhân có giá trị cao như vậy. Những kẻ tấn công có thể chỉ đơn giản là tìm kiếm các mục tiêu thú vị và thu thập dữ liệu cho các chiến dịch trong tương lai, hoặc chúng có thể đang cố gắng thu thập thông tin đăng nhập AppleID để sử dụng trong các chiến dịch khác sử dụng malware có Apple Developer code signatures có giá trị.

Nguồn : thehackernews

 



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật