Разработчиков Apple атаковали новой малварью – бэкдором EggShell

Вредоносные Xcode projects использовали, чтобы «угнать» системы разработчиков и распространить бэкдор EggShell.

Малварь XcodeSpy атакует Xcode – интегрированную среду разработки (ИСР), которая используется в macOS для разработки ПО и приложений на Apple.

Согласно исследованию SentinelLabs, функцию Run Script в ИСР использовали для атаки на разработчиков iOS. Для этого использовали троянские проекты Xcode.

Проекты Xcode можно найти на GitHub. Проекты XcodeSpy предлагают «расширенный функционал» для анимации панелей вкладок iOS – и как только сборка скачана и запущена, развертывается вредоносный код, чтобы установить бэкдор EggShell.

Run Script в ИСР незаметно подделали, чтобы подключить сервер управления и контроля (С2) злоумышленника к проекту разработчика. В частности, хакеры использовали функционал ИСР Apple, который позволяет развертывать пользовательские shell-скрипты при запуске экземпляра приложения.

Бэкдор способен «угнать» микрофон, камеру и клавиатуру жертвы, а также отправить файлы на С2 злоумышленника.

Жертвами такой атаки стали по крайней мере одна компания в США, а также некоторые разработчики Азии.

Кампания длилась с июля по октябрь 2020 года.