網(wǎng)絡(luò)安全研究人員近期披露了一種新的攻擊手法，攻擊者利用植入后門的 Xcode 作為攻擊媒介攻擊蘋果平臺的開發(fā)人員，可以發(fā)現(xiàn)從供應(yīng)鏈入手攻擊開發(fā)人員和研究人員的狀況已經(jīng)愈演愈烈。

Xcode 是 Apple 針對 macOS 的集成開發(fā)環(huán)境(IDE)，可用于為 macOS、iOS、iPadOS、watchOS 和 tvOS 開發(fā)軟件。Xcode 允許開發(fā)人員在啟動實例時運行自定義腳本，但控制臺和調(diào)試器中沒有該腳本執(zhí)行的提示，因此缺乏經(jīng)驗的開發(fā)者會面臨極大的風(fēng)險。

被植入后門的 Xcode 項目名為 XcodeSpy，是基于 GitHub 上名為 TabBarInteraction的開源項目進行后門植入后得到的，該項目可根據(jù)用戶交互與 iOS 標(biāo)簽欄存在動畫交互。

SentinelOne 的研究人員表示：“XcodeSpy 會在開發(fā)人員的 macOS 上安裝定制化 EggShell 后門進行持久化”。SentinelOne 表示，一共發(fā)現(xiàn)了兩個定制的 EggShell 后門，并且發(fā)現(xiàn)樣本在 2020 年 8 月 5 日和 2020 年 10 月 13 日從日本上傳到 VirusTotal。

今年早些時候，Google 發(fā)現(xiàn)了針對安全研究人員的攻擊，在 Windows 平臺上利用 Visual Studio 工程加載惡意 DLL 文件。此次的 Xcode 污染與之類似，區(qū)別只是針對 Apple 平臺的開發(fā)人員。

XcodeSpy 中的惡意腳本會在開發(fā)人員構(gòu)建工程時啟動，從 C&C 服務(wù)器下載定制的 EggShell 后門，該后門可以在失陷主機進行竊取鍵盤擊鍵記錄、麥克風(fēng)錄音、攝像頭錄像等操作。

此前的 XCodeGhost 也利用 Xcode 將惡意代碼注入到了 Xcode 編譯的 iOS 應(yīng)用程序中，通過 App Store 上下載的應(yīng)用程序也存在問題，波及上億臺設(shè)備。2020 年 8 月，趨勢科技的研究員又發(fā)現(xiàn)了類似的攻擊，修改后的 Xcode 會安裝名為 XCSSET 的惡意軟件來竊取憑據(jù)、屏幕截圖、竊取敏感數(shù)據(jù)甚至加密系統(tǒng)勒索贖金。

“針對軟件開發(fā)人員是成功的供應(yīng)鏈攻擊的第一步，想達(dá)到這個目的的一個方法就是對開發(fā)者必需的開發(fā)工具的投毒”，“XcodeSpy 這種攻擊方式完全有可能針對特定的開發(fā)人員，當(dāng)然攻擊者也有可能是為了更大規(guī)模的攻擊做準(zhǔn)備”。

參考來源：TheHackerNews