Le malware XcodeSpy cible les développeurs iOS

0

Un projet Xcode malveillant connu sous le nom de XcodeSpy cible les développeurs iOS lors d’une attaque de la chaîne d’approvisionnement pour installer une porte dérobée macOS sur l’ordinateur du développeur.

Xcode est un environnement de développement d’applications gratuit créé par Apple qui permet aux développeurs de créer des applications qui s’exécutent sur macOS, iOS, tvOS et watchOS.

Comme d’autres environnements de développement, il est courant pour les développeurs de créer des projets qui remplissent des fonctions spécifiques et de les partager en ligne afin que d’autres développeurs puissent les ajouter à leurs propres applications.

Les pirates informatiques créent de plus en plus de versions malveillantes de projets populaires en espérant que ces versions soient inclues dans les applications d’autres développeurs. Lorsque ces applications sont compilées, le composant malveillant infecte leur ordinateur dans une attaque de chaîne d’approvisionnement.

Un projet Xcode utilisé dans une attaque de chaîne d’approvisionnement

Des chercheurs de la société de cybersécurité SentinelOne ont découvert une version malveillante du projet légitime TabBarInteraction distribué lors d’une attaque de chaîne d’approvisionnement.

Dans le cadre de l’attaque, les acteurs de la menace ont cloné le projet légitime TabBarInteraction et ajouté un script malveillant ‘Run Script’ dans le projet, comme indiqué ci-dessous. Cette version malveillante du projet a été nommée « XcodeSpy » par SentinelOne.

xcodespy

Lorsque le projet est construit, Xcode exécute automatiquement le Run Script pour ouvrir un shell distant vers le serveur du pirate informatique, cralev.me.

« Le script crée un fichier caché appelé .tag dans le répertoire /tmp, qui contient une seule commande: mdbcmd. Ceci à son tour est envoyé au serveur des attaquants par un reverse shell», a expliqué Phil Stokes, chercheur de SentinelOne, dans un nouveau rapport.

xcodespy

Au moment où SentinelOne a pris connaissance de ce projet malveillant, le serveur de commande et de contrôle n’était plus disponible, il n’est donc pas clair quelles actions ont été effectuées à travers le reverse shell.

Cependant, SentinelOne a découvert deux échantillons de logiciels malveillants partagés sur VirusTotal qui contiennent la même chaîne «/private/tmp/.tag » pour indiquer qu’ils faisaient partie de cette attaque.

« Au moment où nous avons découvert le projet Xcode malveillant, le C2 sur cralev[.]me était déjà hors ligne, il n’était donc pas possible de vérifier directement le résultat de la commande mdbcmd. Heureusement, cependant, il y’a deux échantillons de la porte dérobée EggShell sur VirusTotal qui contiennent la chaîne de caractère XcodeSpy /private/tmp/.tag. », explique le rapport.

La porte dérobée EggShell permet aux pirates informatique de partager des fichiers, télécharger des fichiers, exécuter des commandes et fouiner sur le microphone, la caméra et l’activité du clavier d’une victime.

Pour l’instant, SentinelOne n’est au courant que d’une victime de cette attaque, et ils ne savent pas comment le projet malveillant Xcode a été distribué.

« Nous n’avons pas de données sur la distribution et c’est quelque chose dont nous aimerions beaucoup en savoir plus de la part de l’ensemble de la communauté. Une partie de notre motivation pour publier cela maintenant est de sensibiliser et de voir si plus de détails manquants viennent à la lumière après l’exposition, » a déclaré Stokes.

Des projets de développement ont aussi ciblé Windows

Des projets de développement malveillants ont également été utilisés récemment pour cibler les développeurs Windows.

En janvier, Google a révélé que le groupe nord-coréen Lazarus menait des attaques d’ingénierie sociale contre des chercheurs en sécurité.

Pour effectuer leurs attaques, les acteurs de la menace ont créé des personas de « chercheurs en sécurité » en ligne utilisés pour contacter les chercheurs en sécurité pour collaborer et exploiter le développement.

Dans le cadre de cette collaboration, les attaquants ont envoyé des projets Visual Studio malveillants qui installeraient des portes dérobées personnalisées sur les ordinateurs du chercheur.

Pour prévenir ces types d’attaques, lorsque les développeurs utilisent des paquets tiers dans leurs propres projets, ils doivent toujours les analyser pour trouver des scripts qui seraient exécutés lorsque le projet est compilé.

Si quelque chose semble suspect, les développeurs ne devraient pas utiliser le paquet.

Laisser un commentaire

Votre adresse email ne sera pas publiée.