警告!|安全研究人员发现针对iOS软件开发者的macOS恶意软件_安全研究人员发现针对iOS软件

SentinelOne 安全研究人员刚刚发现了一款针对 iOS 软件开发者的 macOS 恶意软件，并将之命名为 XcodeSpy。这款在野外发现的恶意软件，旨在渗透苹果向开发者免费提供的 Xcode 开发工具。如果开发者用被感染的 Xcode 开发面向 iOS 等平台的应用程序，就很可能在不经意间将恶意项目代码也打包进去。

文章图片

Xcode 是构建应用程序所需的所有文件、资源和信息的存储库。但安全研究人员在野外发现了一个试图在开发者 macOS 设备上安装高级监视型恶意软件的木马代码库。
具体说来是，问题出在合法开源的 TabBarInteraction 项目的副本上。正常情况下，开发者可借此轻松创建交互（比如为 iOS 选项卡添加动画效果）。
除了合法代码，XcodeSpy 还包含了一个模糊的“运行脚本”，会在开发者开始项目构建时被执行。在与攻击者控制的远程服务器进行联系后，还会下载并安装定制版本的 EggShell。
所谓 EggShell，特指一种开放源代码的后门，可利用麦克风、摄像头和键盘，对目标用户展开相应的监视。

文章图片

SentinelOne 安全公司研究人员 Phil Stokes 在周四发表的博客文章中指出，他们发现了两个定制化的 EggShell 变种。
两者都利用了来自日本的 Web 界面来上载至 VirusTotal，时间分别为 8 月 5 日和 10 月 13 日，且后续样本还于 2020 年末在美国受害者的 Mac 终端上被发现。
出于保密的需求，SentinelOne 目前无法提供有关野外攻击（ITW）事件的更多细节。但据受害者报告，他们很可能再次成为了朝方高级持续威胁（APT ）攻击者的目标。

文章图片

庆幸的是，到目前为止，研究人员仅留意到了来自美国一家组织的一个野外攻击案例。不过迹象分析表明，相关活动至少在 2020 年 7~10 月之间持续开展，且同样有可能针对亚洲地区的开发者。
【警告!|安全研究人员发现针对iOS软件开发者的macOS恶意软件】此外两个月前，微软和谷歌研究人员均表示，有朝方背景的黑客，正在积极尝试感染安全研究人员的计算机。为赢得研究人员的信任，黑客甚至花费了数周时间，在 Twitter 上精心扮演了一个角色。