Los piratas informáticos infectan a los desarrolladores de aplicaciones de Apple con proyectos de Xcode troyanizados

Los investigadores de ciberseguridad revelaron el jueves un nuevo ataque en el que los actores de amenazas están aprovechando Xcode como un vector de ataque para comprometer a los desarrolladores de la plataforma Apple con una puerta trasera, lo que se suma a una tendencia creciente que implica atacar a los desarrolladores e investigadores con ataques maliciosos.

Apodado «XcodeSpy», el proyecto Xcode troyanizado es una versión contaminada de un proyecto legítimo de código abierto disponible en GitHub llamado TabBarInteraction que los desarrolladores utilizan para animar las barras de pestañas de iOS según la interacción del usuario.

«XcodeSpy es un proyecto Xcode malicioso que instala una variante personalizada de la puerta trasera EggShell en la computadora macOS del desarrollador junto con un mecanismo de persistencia», dijeron los investigadores de SentinelOne .

Xcode es el entorno de desarrollo integrado (IDE) de Apple para macOS, que se utiliza para desarrollar software para macOS, iOS, iPadOS, watchOS y tvOS.

A principios de este año, el grupo de análisis de amenazas de Google descubrió una campaña norcoreana dirigida a investigadores de seguridad y desarrolladores de exploits, que implicaba compartir un proyecto de Visual Studio diseñado para cargar una DLL maliciosa en sistemas Windows.

El proyecto Xcode manipulado hace algo similar, solo que esta vez los ataques han señalado a los desarrolladores de Apple.

Además de incluir el código original, XcodeSpy también contiene un Run Script ofuscado que se ejecuta cuando se lanza el objetivo de compilación del desarrollador. Luego, el script contacta a un servidor controlado por el atacante para recuperar una variante personalizada de la puerta trasera EggShell en la máquina de desarrollo, que viene con capacidades para registrar información del micrófono, la cámara y el teclado de la víctima.

«XcodeSpy aprovecha una función incorporada del IDE de Apple que permite a los desarrolladores ejecutar un script de shell personalizado al iniciar una instancia de su aplicación de destino», dijeron los investigadores. «Si bien la técnica es fácil de identificar si se busca, los desarrolladores nuevos o sin experiencia que no conocen la función Ejecutar secuencia de comandos están particularmente en riesgo, ya que no hay ninguna indicación en la consola o el depurador que indique la ejecución de la secuencia de comandos maliciosa».

SentinelOne dijo que identificó dos variantes de la carga útil EggShell, con las muestras cargadas a VirusTotal desde Japón el 5 de agosto y el 13 de octubre del año pasado. Pistas adicionales apuntan a una organización estadounidense anónima que se dice que fue atacada con esta campaña entre julio y octubre de 2020, y es probable que otros desarrolladores en Asia también sean atacados.

Los adversarios han recurrido previamente a ejecutables de Xcode contaminados (también conocido como XCodeGhost ) para inyectar código malicioso en aplicaciones de iOS compiladas con el Xcode infectado sin el conocimiento de los desarrolladores y, posteriormente, utilizar las aplicaciones infectadas para recopilar información de los dispositivos una vez que se descargan e instalan desde el Tienda de aplicaciones.

Luego, en agosto de 2020, los investigadores de Trend Micro desentierran una amenaza similar que se propagó a través de proyectos Xcode modificados, que, una vez construidos, se configuraron para instalar un malware de mac llamado XCSSET para robar credenciales, capturar capturas de pantalla, datos confidenciales de mensajería y aplicaciones de toma de notas. e incluso cifrar archivos para obtener un rescate.

Pero XcodeSpy, por el contrario, toma un camino más fácil, ya que el objetivo parece ser golpear a los propios desarrolladores, aunque el objetivo final detrás de la explotación y la identidad del grupo detrás de ella aún no está claro.

«Dirigirse a los desarrolladores de software es el primer paso en un ataque exitoso a la cadena de suministro. Una forma de hacerlo es abusar de las herramientas de desarrollo necesarias para llevar a cabo este trabajo», dijeron los investigadores.

«Es muy posible que XcodeSpy se haya dirigido a un desarrollador o grupo de desarrolladores en particular, pero hay otros escenarios potenciales con víctimas de tan alto valor. Los atacantes podrían simplemente estar rastreando objetivos interesantes y recopilando datos para campañas futuras, o podría estar intentando recopilar credenciales de AppleID para usarlas en otras campañas que usan malware con firmas de código de desarrollador de Apple válidas «.

Fuente: https://thehackernews.com/2021/03/hackers-infecting-apple-app-developers.html

Daniel Perez

Daniel Perez

Dejar un comentario

Este sitio web utiliza cookies para garantizar que obtenga la mejor experiencia. Más información