Des chercheurs en cybersécurité ont révélé jeudi une nouvelle attaque dans laquelle des acteurs menaçants exploitent Xcode comme vecteur d’attaque pour compromettre les développeurs de la plate-forme Apple avec une porte dérobée, s’ajoutant à une tendance croissante qui consiste à cibler les développeurs et les chercheurs avec des attaques malveillantes

Surnommé «XcodeSpy», le projet Xcode trojanized est une version corrompue d’un projet légitime et open-source disponible sur GitHub appelé TabBarInteraction qui est utilisé par les développeurs pour animer les barres d’onglets iOS en fonction de l’interaction de l’utilisateur.

« XcodeSpy est un projet Xcode malveillant qui installe une variante personnalisée de la porte dérobée EggShell sur l’ordinateur macOS du développeur avec un mécanisme de persistance », ont déclaré les chercheurs de SentinelOne.

Xcode est l’environnement de développement intégré (IDE) d’Apple pour macOS, utilisé pour développer des logiciels pour macOS, iOS, iPadOS, watchOS et tvOS

Plus tôt cette année, le groupe d’analyse des menaces de Google a découvert une campagne nord-coréenne destinée aux chercheurs en sécurité et aux développeurs d’exploitations, qui impliquait le partage d’un projet Visual Studio conçu pour charger une DLL malveillante sur les systèmes Windows.

Le projet Xcode trafiqué fait quelque chose de similaire, mais cette fois, les attaques ont distingué les développeurs Apple

En plus d’inclure le code d’origine, XcodeSpy contient également un script d’exécution obscurci qui est exécuté lorsque la cible de construction du développeur est lancée Le script contacte ensuite un serveur contrôlé par un attaquant pour récupérer une variante personnalisée de la porte dérobée EggShell sur la machine de développement, qui est dotée de capacités pour enregistrer des informations à partir du microphone, de la caméra et du clavier de la victime.

« XcodeSpy tire parti d’une fonctionnalité intégrée de l’IDE d’Apple qui permet aux développeurs d’exécuter un script shell personnalisé lors du lancement d’une instance de leur application cible », ont déclaré les chercheurs. « Bien que la technique soit facile à identifier si elle est recherchée, les développeurs nouveaux ou inexpérimentés qui ne sont pas au courant de la fonctionnalité Exécuter le script sont particulièrement à risque car il n’y a aucune indication dans la console ou le débogueur pour indiquer l’exécution du script malveillant. »

SentinelOne a déclaré avoir identifié deux variantes de la charge utile EggShell, avec les échantillons téléchargés sur VirusTotal depuis le Japon les 5 août et 13 octobre de l’année dernière. Des indices supplémentaires indiquent un U sans nomS organisation qui aurait été ciblée à l’aide de cette campagne entre juillet et octobre 2020, avec d’autres développeurs en Asie susceptibles d’être également ciblés

Les adversaires ont déjà eu recours à des exécutables Xcode contaminés (alias XCodeGhost) pour injecter du code malveillant dans les applications iOS compilées avec le Xcode infecté à l’insu des développeurs, puis utiliser les applications infectées pour collecter des informations sur les appareils une fois qu’elles sont téléchargées et installé depuis l’App Store

Puis, en août 2020, des chercheurs de Trend Micro ont découvert une menace similaire qui s’est propagée via des projets Xcode modifiés, qui, lors de la construction, ont été configurés pour installer un malware mac appelé XCSSET pour voler des informations d’identification, capturer des captures d’écran, des données sensibles à partir de la messagerie et des notes prendre des applications et même crypter des fichiers contre une rançon

Mais XcodeSpy, en revanche, prend une voie plus facile, car l’objectif semble être de frapper les développeurs eux-mêmes, bien que l’objectif ultime derrière l’exploitation et l’identité du groupe derrière celui-ci reste encore flou

« Cibler les développeurs de logiciels est la première étape d’une attaque réussie de la chaîne d’approvisionnement Une façon de le faire est d’abuser des outils de développement nécessaires pour mener à bien ce travail », ont déclaré les chercheurs.

« Il est tout à fait possible que XcodeSpy ait ciblé un développeur ou un groupe de développeurs en particulier, mais il existe d’autres scénarios potentiels avec des victimes aussi importantes Les attaquants pourraient simplement rechercher des cibles intéressantes et collecter des données pour de futures campagnes, ou ils pourraient tenter de collecter des informations d’identification AppleID à utiliser dans d’autres campagnes utilisant des logiciels malveillants avec des signatures de code de développeur Apple valides. »

Inscrivez-vous à la newsletter sur la cybersécurité et recevez quotidiennement les dernières actualités directement dans votre boîte de réception

Xcode, macOS, iOS, développeur Apple, porte dérobée, ordinateur, sécurité informatique

Actualités – États-Unis – Des pirates informatiques infectent les développeurs d’applications Apple avec des projets Xcode cheval de Troie
Titre associé :
Security Researchers Discover XcodeSpy Malware that Target Developers
Les pirates informatiques infectant les développeurs d’applications Apple avec des projets Trojanized Xcode
Le programme malveillant XCodeSpy cible les développeurs utilisant le logiciel Xcode d’Apple& # 39; backdoor « > Les pirates informatiques ciblent les développeurs Apple avec une porte dérobée
projet Trojanized Xcode ciblant les développeurs Apple trouvés dans la nature
Le nouveau programme malveillant Xcode cible les développeurs Apple Mac et les experts avertissent
Les attaquants tentent de faire une porte dérobée aux développeurs iOS & # 39; Mac
Développeurs Apple ciblés par de nouveaux logiciels malveillants , EggShell backdoor
Un nouveau malware utilise un projet Xcode malveillant pour installer des portes dérobées sur les Mac des développeurs
Le nouveau malware XcodeSpy cible les développeurs iOS dans l’attaque de la chaîne d’approvisionnement

Source: https://thehackernews.com/2021/03/hackers-infecting-apple-app-developers.html

En s’appuyant sur ses expertises dans les domaines du digital, des technologies et des process , CSS Engineering vous accompagne dans vos chantiers de transformation les plus ambitieux et vous aide à faire émerger de nouvelles idées, de nouvelles offres, de nouveaux modes de collaboration, de nouvelles manières de produire et de vendre.

CSS Engineering s’implique dans les projets de chaque client comme si c’était les siens. Nous croyons qu’une société de conseil devrait être plus que d’un conseiller. Nous nous mettons à la place de nos clients, pour aligner nos incitations à leurs objectifs, et collaborer pour débloquer le plein potentiel de leur entreprise. Cela établit des relations profondes et agréables.

Nos services:

  1. Création des sites web professionnels
  2. Hébergement web haute performance et illimité
  3. Vente et installation des caméras de vidéo surveillance
  4. Vente et installation des système de sécurité et d’alarme
  5. E-Marketing

Toutes nos réalisations ici https://www.css-engineering.com/en/works/