Apple-Entwickler im Visier von bösartigem Xcode-Projekt

Cyber Security News

Ein Mann steht vor einem Apple Store in Berlin, Deutschland. Bedrohungsakteure haben die Funktion “Run Script” in Apples integrierter Entwicklungsumgebung (IDE) Xcode missbraucht, um Apple-Entwickler über freigegebene Xcode-Projekte zu infizieren. (Foto: Steffi Loos/Getty Images)

Forscher berichteten am Donnerstag, dass Bedrohungsakteure die Funktion “Run Script” in Apples integrierter Entwicklungsumgebung (IDE) Xcode missbraucht haben, um Apple-Entwickler über gemeinsam genutzte Xcode-Projekte zu infizieren.

In einem Blog-Post schreiben die Forscher von SentinelLabs, dass das bösartige Xcode-Projekt – XcodeSpy – eine angepasste Variante der EggShell-Backdoor auf dem macOS-Computer des Entwicklers installiert. Die Backdoor ist in der Lage, das Mikrofon, die Kamera und Tastatureingaben des Opfers aufzuzeichnen und kann Dateien hoch- und herunterladen. Die Forscher fügten hinzu, dass andere Bedrohungsakteure die XcodeSpy-Infektion nutzen könnten und dass alle Apple-Entwickler, die Xcode verwenden, vorsichtig sein sollten, wenn sie gemeinsame Projekte übernehmen.

Den Forschern zufolge erfuhr SentinelLabs von dem trojanisierten Xcode-Projekt von einem anonymen Forscher. Sie sagten, dass das bösartige Projekt als manipulierte Version eines legitimen, Open-Source-Projekts – verfügbar auf GitHub – funktioniert, das iOS-Entwicklern bestimmte erweiterte Funktionen für die Animation der iOS-Tab-Leiste bietet.

Die trojanisierte XcodeSpy-Version dieses Projekts wurde jedoch so verändert, dass ein verschleiertes Run-Skript ausgeführt wird, wenn das Build-Ziel des Entwicklers gestartet wird. Das Skript kontaktiert die C2-Infrastruktur der Angreifer und legt eine benutzerdefinierte Variante der EggShell-Backdoor auf dem Entwicklungscomputer ab. Die Malware installiert dann einen Benutzer-LaunchAgent für die Persistenz.

Im Rahmen des Blogs stellten die Forscher einen breiteren Kontext dar und wiesen auf zwei anhaltende und miteinander verbundene Trends hin, die es zu beobachten gilt: Die gezielte Ansprache von Entwicklern und die Verwendung von Angriffen über die Lieferkette, um große Benutzerbasen zu infizieren.

“Erfolg erzeugt mehr Erfolg ist ein Thema rund um die Supply-Chain-Angriffe und das Targeting auf Entwickler”, sagte Brandon Hoffman, Chief Information Security Officer bei Netenrich. “Diese Entdeckung unterstreicht die dringende Notwendigkeit für Unternehmen, Sicherheit in die Entwicklungsabläufe einzubetten. Leider unterstreicht sie auch die Notwendigkeit, Code, der von vielen genutzt und geteilt wird, kontinuierlich zu validieren, insbesondere bei Open-Source-Projekten. Die Sicherheits-Community macht sich schon seit Jahrzehnten Sorgen um Open-Source-Code, und auch wenn es einige Zeit gedauert hat, waren die Bedenken berechtigt. Jeder muss bei allen Zugangspunkten zu seinem Code, seinen Produkten und Dienstleistungen, die er anbietet, äußerst wachsam bleiben oder werden.”

Greg Ake, ein leitender Bedrohungsforscher bei Huntress, fügte hinzu, dass dieser Angriff Anlass zur Besorgnis gibt, weil er zu einer Trickle-Down-Infektion und Kompromittierung aller Kunden führen kann, die diese App verwenden, wodurch sie einer Reihe von Missbräuchen ausgesetzt sind.

“Die Verbraucher müssen besser verstehen, woher ihre Apps und Dienste kommen und welchen Zugang sie mit diesen Diensten aufgeben”, sagte Ake. “Ebenso müssen Softwareentwickler einen definierten Softwareentwicklungslebenszyklus nutzen. Die Einbeziehung von Sicherheitskonzepten und -überprüfungen in den Entwicklungsprozess kann dabei helfen, dieses Risiko zu reduzieren. Bei vielen Apps und Software-Shops handelt es sich um kleine Teams, die nicht die Fähigkeiten oder das Budget haben, um sich Sicherheit zu leisten. Dabei ist der Aufwand für die Entwicklung und Wartung noch gar nicht berücksichtigt. Der Anreiz für Sicherheit muss da sein, um sicherzustellen, dass Angriffe auf die Lieferkette wie diese nicht weiter zunehmen.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com