Des chercheurs de la société de cybersécurité SentinelOne ont découvert une bibliothèque de codes cheval de Troie qui est utilisée dans la nature pour essayer d’installer des logiciels malveillants de surveillance sur les Mac des développeurs créant des applications pour iOS.
Tel que rapporté par Ars Technica, la campagne exploite l’outil de développement Xcode d’Apple pour iOS et macOS et l’attaquant responsable a créé un projet malveillant à l’aide de l’outil afin de propager des logiciels malveillants. Cependant, le projet lui-même était une copie d’un projet open source légitime appelé TabBarInteraction qui aide les développeurs à animer les barres d’onglets dans iOS.
La fausse version de TabBarInteraction comprenait également un script obscurci appelé «Run Script» qui est exécuté chaque fois qu’une build de développeur est lancée. Ce script contacte un serveur contrôlé par l’attaquant pour télécharger et installer une version personnalisée de la porte dérobée Open Source EggShell qui est utilisée pour espionner les utilisateurs via leur microphone, leur caméra et leur clavier.
Sommaire
XcodeSpy
Les chercheurs de SentinelLabs ont donné au projet trojanisé le nom XcodeSpy car il exploite le Xcode d’Apple pour permettre à un attaquant d’espionner d’autres utilisateurs de Mac.
Deux variantes de la porte dérobée EggShell personnalisée abandonnée par le projet cheval de Troie ont été découvertes jusqu’à présent et toutes deux ont été téléchargées sur VirusTotal pour une enquête plus approfondie. Le premier échantillon a été téléchargé en août de l’année dernière, tandis que le second a été téléchargé en octobre.
Dans un nouveau billet de blog détaillant la découverte de l’entreprise, chercheur sur les menaces chez SentinelOne, Phil Stokes a expliqué qu’il pourrait y avoir d’autres projets XcodeSpy, en disant:
«Jusqu’à présent, nous n’avons pas été en mesure de découvrir d’autres échantillons de projets Xcode trojanized et ne pouvons pas mesurer l’étendue de cette activité. Cependant, la chronologie des échantillons connus et d’autres indicateurs mentionnés ci-dessous suggèrent que d’autres projets XcodeSpy peuvent exister. En partageant les détails de cette campagne, nous espérons sensibiliser à ce vecteur d’attaque et souligner le fait que les développeurs sont des cibles de grande valeur pour les attaquants. »
Pour éviter d’être victime de XcodeSpy, les développeurs doivent faire preuve de prudence lors du téléchargement et de l’installation de nouveaux projets open source.
Via Ars Technica
