Nuevo malware oculto en el IDE de Apple se dirige a macOS …



XcodeSpy es el último ejemplo de ataques crecientes a la cadena de suministro de software package.

Los investigadores de SentinelOne han descubierto un nuevo malware dirigido a los desarrolladores de aplicaciones macOS en la última señal del creciente interés de los atacantes en la cadena de suministro de computer software.

El malware, XcodeSpy, se disfraza como un proyecto legítimo de código abierto de Xcode llamado TabBarInteraction que proporciona a los desarrolladores de macOS un código para animar la barra de pestañas de iOS en función de la interacción del usuario.

«Xcode es un entorno de desarrollo integrado (IDE) proporcionado por Apple para que los desarrolladores creen aplicaciones de application para todas las plataformas de Apple», dice Philip Stokes, investigador de amenazas de SentinelOne.

Es de descarga y uso gratuito y los desarrolladores lo utilizan principalmente para crear aplicaciones para Iphone, iPad y Mac, dice.

XcodeSpy instala una variante de la puerta trasera EggShell en el sistema macOS de un desarrollador de Apple. La puerta trasera está diseñada para espiar al desarrollador y tiene funciones para grabar la actividad de la cámara, el micrófono y el teclado de la víctima. También tiene la capacidad de descargar y cargar archivos y permanecer persistente en un sistema infectado.

El malware se ejecuta cuando un desarrollador que utiliza la versión troyanizada del proyecto TabBarInteraction Xcode lanza lo que se conoce como el objetivo de compilación en Xcode. El malware XcodeSpy contacta con el servidor de comando y manage (C2) del atacante y deja caer la puerta trasera EggShell en la máquina de desarrollo, dijo SentinelOne en un reporte esta semana.

«Un proyecto de Xcode es un repositorio de todos los archivos, recursos e información necesarios para crear uno o más productos de software program», dice Stokes. «Un proyecto contiene todos los elementos que se utilizan para construir un producto y mantener las relaciones entre esos elementos».

Inyectar malware en un proyecto de Xcode les da a los atacantes una forma de apuntar a los desarrolladores y potencialmente hacer una puerta trasera a las aplicaciones del desarrollador y a los clientes de esas aplicaciones, dice. Sin embargo, con XcodeSpy, los atacantes parecen apuntar directamente a los propios desarrolladores, según SentinelOne.

El proveedor de seguridad dijo que se encontró una muestra de XcodeSpy en la Mac de una víctima con sede en EE. UU. A fines de 2020. El informe de la compañía no reveló la identidad de la víctima, pero describió a la organización como un objetivo frecuente de los actores de amenazas persistentes avanzadas de Corea del Norte.

SentinelOne dijo que es posible que XcodeSpy haya estado dirigido a un desarrollador o grupo de desarrolladores específico. O también es posible que los atacantes estén usando el malware para recopilar información que pueda lanzarse en futuros ataques o para recolectar credenciales de AppleID con el mismo propósito. El proveedor de seguridad dijo que hasta ahora no ha podido encontrar ninguna otra instancia de proyectos Xcode manipulados. Pero la telemetría disponible sugiere que existen otros proyectos de XcodeSpy, y los desarrolladores deben estar atentos.

Stokes dice que el código malicioso es relativamente fácil de detectar si los desarrolladores saben cómo buscarlo. Pero los atacantes han ofuscado el malware lo suficiente como para que pueda evadir la detección mediante una inspección everyday, especialmente cuando los desarrolladores nuevos o sin experiencia están usando el proyecto Xcode manipulado.

«La técnica very simple para ocultar y lanzar un script malicioso utilizado por XcodeSpy podría implementarse en cualquier proyecto Xcode compartido», dijo SentinelOne en su informe. «En consecuencia, se advierte a todos los desarrolladores de Apple que verifiquen la presencia de Operate Scripts maliciosos siempre que adopten proyectos Xcode de terceros».

El malware es el ejemplo más reciente de atacantes que se dirigen a la cadena de suministro de application y socios tecnológicos confiables, en common, para intentar llegar a sus clientes. La violación de SolarWinds revelada en diciembre pasado se ha convertido en uno de los ejemplos más visibles de cómo los atacantes pueden comprometer a un gran número de organizaciones simultáneamente al colocar una puerta trasera en el application de un proveedor que todos usan.

A principios de este año, el grupo de análisis de amenazas de Google reveló una amplia campaña de amenazas de Corea del Norte dirigidos a los investigadores de seguridad que trabajan en la investigación de vulnerabilidades en varias organizaciones. Parte de la campaña involucró a los actores de amenazas que engañaban a los investigadores de seguridad para que trabajaran con un proyecto de Visible Studio que contenía malware oculto.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique