研究：骇客又在合法的苹果Xcode专案上植入恶意程式

美国资安新创SentinelOne本周揭露了一起锁定苹果开发者的攻击行动，骇客透过恶意的Xcode共享专案XcodeSpy，来入侵开发者的macOS电脑，进而植入EggShell后门程式，监控受害者的麦克风、摄影机与键盘，还能上传与下载资料。

Xcode为苹果所提供的集成开发环境（IDE），可用来打造支援macOS、iOS、iPadOS、watchOS及tvOS的程式，遭到骇客利用的是一个名为TabBarInteraction的合法Xcode专案，它是个开源专案，可协助开发人员根据使用者的互动来替iOS的标签栏设计动画，但骇客却在TabBarInteraction中植入了恶意的脚本程式，只要一执行就会自骇客所控制的服务器下载，并安装客制化的EggShell后门程式。

研究人员把此一嵌入恶意功能的专案称为XcodeSpy，同时强调Github上的TabBarInteraction是无毒的，而TabBarInteraction作者potato04亦与此一恶意行动无关。

分析显示，XcodeSpy滥用了Xcode内建的Run Script功能，此一功能允许开发者可在启用应用程序实例时，执行一个客制化的介壳脚本程式，而XcodeSpy所植入的脚本程式就是透过该功能自远端服务器下载EggShell。

图片来源／SentinelOne

SentinelOne并未公布XcodeSpy散布的管道，亦不确定骇客的动机，猜测骇客可能锁定特定的开发者，或者是有价值的受害者，也可能只是想取得这些开发者的苹果凭证，以利之后的攻击。

去年也曾传出有恶意程式透过Xcode专案散布，而且该恶意程式还锁定了苹果的零时差漏洞。

XcodeSpy反映出近来骇客对开发人员的浓厚兴趣，它所部署的后门程式会侧录开发者的键盘、麦克风与摄影机，而今年初包括Google与微软都曾提出警告，北朝鲜骇客正锁定资安研究人员展开攻击，他们发现的两起攻击都是为了窃取开发者系统上的资料，被归类为间谍行动。