Hacker infizieren Apple-App-Entwickler mit trojanisierten Xcode-Projekten

Cyber Security News

Cybersecurity-Forscher haben am Donnerstag einen neuen Angriff aufgedeckt, bei dem Bedrohungsakteure Xcode als Angriffsvektor nutzen, um Entwickler der Apple-Plattform mit einer Backdoor zu kompromittieren. Damit wird ein wachsender Trend sichtbar, bei dem Entwickler und Forscher mit bösartigen Angriffen ins Visier genommen werden.

Unter dem Namen “XcodeSpy” ist das trojanisierte Xcode-Projekt eine verdorbene Version eines legitimen Open-Source-Projekts auf GitHub namens TabBarInteraction, das von Entwicklern verwendet wird, um iOS-Tab-Leisten basierend auf Benutzerinteraktionen zu animieren.

“XcodeSpy ist ein bösartiges Xcode-Projekt, das eine benutzerdefinierte Variante der EggShell-Backdoor auf dem macOS-Computer des Entwicklers zusammen mit einem Persistenzmechanismus installiert”, so die Forscher von SentinelOne.

Xcode ist die integrierte Entwicklungsumgebung (IDE) von Apple für macOS, die zur Entwicklung von Software für macOS, iOS, iPadOS, watchOS und tvOS verwendet wird.

Anfang dieses Jahres deckte die Threat-Analyse-Gruppe von Google eine nordkoreanische Kampagne auf, die auf Sicherheitsforscher und Exploit-Entwickler abzielte und die Weitergabe eines Visual Studio-Projekts beinhaltete, das dazu diente, eine bösartige DLL auf Windows-Systeme zu laden.

Das manipulierte Xcode-Projekt macht etwas Ähnliches, nur dass die Angriffe dieses Mal Apple-Entwickler ins Visier genommen haben.

[Blocked Image: https://thehackernews.com/images/-TlHvEa4psos/YFRVd1xGiFI/AAAAAAAACEA/m1XEI9iLHLAvjkteQ4Zd3rgUS4itdnULgCLcBGAsYHQ/s0/apple-apps.jpg]

Neben dem Originalcode enthält XcodeSpy auch ein verschleiertes Run-Skript, das ausgeführt wird, wenn das Build-Ziel des Entwicklers gestartet wird. Das Skript kontaktiert dann einen vom Angreifer kontrollierten Server, um eine benutzerdefinierte Variante der EggShell-Backdoor auf dem Entwicklungsrechner abzurufen, die über die Fähigkeit verfügt, Informationen von Mikrofon, Kamera und Tastatur des Opfers aufzuzeichnen.

SentinelOne hat nach eigenen Angaben zwei Varianten der EggShell-Nutzlast identifiziert, wobei die Samples am 5. August und am 13. Oktober letzten Jahres aus Japan auf VirusTotal hochgeladen wurden. Weitere Hinweise deuten auf eine ungenannte US-Organisation hin, die zwischen Juli und Oktober 2020 mit dieser Kampagne angegriffen wurde, wobei wahrscheinlich auch andere Entwickler in Asien betroffen sind.

Angreifer haben zuvor auf verseuchte Xcode-Executables (auch bekannt als XCodeGhost) zurückgegriffen, um ohne das Wissen der Entwickler Schadcode in iOS-Apps zu injizieren, die mit dem infizierten Xcode kompiliert wurden, und anschließend die infizierten Apps zu verwenden, um Informationen von den Geräten zu sammeln, sobald sie aus dem App Store heruntergeladen und installiert wurden.

Im August 2020 deckten Forscher von Trend Micro dann eine ähnliche Bedrohung auf, die sich über modifizierte Xcode-Projekte verbreitete, die nach der Erstellung so konfiguriert waren, dass sie eine Malware namens XCSSET installierten, um Anmeldeinformationen zu stehlen, Screenshots und sensible Daten aus Messaging- und Notiz-Apps zu erfassen und sogar Dateien gegen ein Lösegeld zu verschlüsseln.

XcodeSpy hingegen geht einen einfacheren Weg, denn das Ziel scheint es zu sein, die Entwickler selbst anzugreifen.

“Software-Entwickler ins Visier zu nehmen, ist der erste Schritt eines erfolgreichen Angriffs auf die Lieferkette. Eine Möglichkeit, dies zu tun, besteht darin, genau die Entwicklungswerkzeuge zu missbrauchen, die für die Durchführung dieser Arbeit notwendig sind”, so die Forscher.

“Es ist durchaus möglich, dass XcodeSpy auf einen bestimmten Entwickler oder eine Gruppe von Entwicklern abzielte, aber es gibt auch andere mögliche Szenarien mit solch hochwertigen Opfern. Angreifer könnten einfach nur nach interessanten Zielen suchen und Daten für zukünftige Kampagnen sammeln, oder sie könnten versuchen, AppleID-Anmeldeinformationen zu sammeln, um sie in anderen Kampagnen zu verwenden, die Malware mit gültigen Apple-Developer-Code-Signaturen verwenden.”

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com