• 發布單位:TWCERT/CC
• 更新日期:2021-03-23
• 點閱次數:3025

資安專家近期發現一個惡意的 Xcode 開發計畫案，專門針對 iOS 軟體開發者下手，可在開發者的電腦中安裝後門，發動供應鏈攻擊。

資安廠商 SentineOne 旗下的資安研究人員，近期發現命名為「XcodeSpy」的一個惡意 Xcode 開發計畫案；這個計畫案專門針對 iOS 軟體開發者下手，可在開發者用以撰寫 iOS 應用程式的 Mac 電腦中安裝後門，發動供應鏈攻擊。

研究人員發現某個沒有問題且常被使用的 Xcode 開發計畫「TabBarInteraction」，有部分版本被植入了 XcodeSpy 惡意程式碼；駭侵者在 TabBarInteraction 正常的程式碼之外，另外加入了用以執行惡意攻擊的一段 Run Script 程式碼。

當程式開發人員建置含有 Run Script 的開發計畫案時，Xcode 會自動執行 Run Script，並且在開發人員用的電腦上開啟一個可遠端控制的後門，並且連上駭侵者布置的控置伺服器，其網址為 cralev.me。

研究人員指出，這段指令碼會在 /tmp 目錄中製作一個檔名為 .tag 的隱藏檔，其中包含了 :mdbcmd 指令，以便連上駭侵者布置的控制伺服器，發動各種後續攻擊。

不過 SentineOne 也表示，當他們發現 XcodeSpy 的存在時，程式碼指向的控制伺服器已經無法連線，因此目前不知道駭侵者會透過這個後門，發動何種類型的攻擊活動。

據研究人員指出，XcodeSpy 開啟的後門稱為 EggShell 後門，可以讓駭侵者上傳或下載檔案、遠端執行各種指令，同時竊取用戶透過鍵盤、麥克風與攝影鏡頭的活動資訊。