Хакеры атаковали iOS-разработчиков через Xcode

Исследователи из компании SentinelOne обнаружили троянизированную библиотеку кода, с помощью которой злоумышленники пытаются установить вредоносное ПО для наблюдения за компьютерами iOS-разработчиков, работающими на Mac OS.

Исследователи назвали вредоносный проект XcodeSpy — злоумышленник написал его для Xcode (репозиторий для всех файлов, ресурсов и информации, необходимых для создания приложения). XcodeSpy выглядит копией TabBarInteraction — проекта с открытым исходным кодом, который упрощает разработчикам анимацию панелей вкладок iOS.

Проект с открытым исходным кодом TabBarInteraction

Вредоносный скрипт запускался всякий раз, когда запускалась сборка разработчика, и связывался с сервером мошенников, чтобы загрузить и установить вариант бэкдора EggShell, который шпионит за пользователем через микрофон, камеру и клавиатуру.

Xcode не впервые используется для хакерских атак. В августе 2020 года исследователи обнаружили проекты Xcode, доступные в интернете, которые встраивали эксплойты для двух уязвимостей 0-day в Safari. А в 2015 году исследователи обнаружили 4 тыс. приложений для iOS, зараженных вредоносной версией Xcode.

Похожей атаке недавно подверглись и сотрудники Microsoft. Хакеры отправили целевым разработчикам проект Visual Studio, якобы содержащий исходный код для экспериментального эксплойта. Внутри проекта было спрятано вредоносное ПО, которое связывалось с сервером управления злоумышленников.