マイク・ピーターソン
· 2分で読めます
クレジット: Apple
セキュリティ研究者らは、コーディングプラットフォームのスクリプト機能を利用して、影響を受けるマシンにバックドアをインストールすることで、Xcode 開発者を標的とする新しいマルウェアを発見した。
XcodeSpyと呼ばれるこのマルウェアは、macOSの統合開発環境(IDE)であるXcodeに影響を与えます。Xcodeは、Appleの開発者がiPhone、Mac、その他のデバイス向けのApp Storeアプリを作成するために使用されています。
SentinelLabs の研究者によると、悪意のある人物が IDE のスクリプト実行機能を悪用し、共有 Xcode プロジェクトを使用している Apple 開発者に感染しているとのこと。
研究者によると、いわゆる「トロイの木馬化されたXcodeプロジェクト」は現在、iOS開発者の間で感染が広がっているという。これは、iOS開発者にiOSタブバーのアニメーション化のための高度な機能を提供するGitHubで公開されている正規プロジェクトの改ざん版である。
悪意のあるXcodeプロジェクトがダウンロードされ起動されると、永続化メカニズムを備えたEggShellバックドアのカスタム亜種がインストールされます。研究者によると、このバックドアにより、攻撃者はファイルをアップロードまたはダウンロードしたり、被害者のマイク、カメラ、キーボードを録音したりすることが可能になる可能性があるとのことです。
前述の通り、この攻撃はXcodeの「スクリプト実行」機能を利用しています。この機能により、開発者はアプリケーションのインスタンスを起動する際にカスタムシェルスクリプトを実行できます。コンソールやデバッガには悪意のあるスクリプトが実行されたことが表示されないため、この攻撃は難読化されています。
SentinelOneは、米国の組織で少なくとも1件の事例を把握していると述べています。このキャンペーンは2020年7月から10月にかけて実施されたと報じられており、アジアの開発者も標的にされていた可能性があります。研究者らは、他に悪意のあるXcodeプロジェクトが実際に存在していることは把握しておらず、これが深刻な問題であるかどうかは判断できないと述べています。しかしながら、トロイの木馬化されたXcodeプロジェクトが他にも存在する可能性を示唆する兆候はいくつかあります。
「このキャンペーンの詳細を共有することで、この攻撃ベクトルに対する認識を高め、開発者が攻撃者にとって価値の高いターゲットであるという事実を強調したい」とSentinelOneはブログ投稿に記した。
研究者らは、TabBarInteractionと呼ばれるiOSタブバープロジェクトのオリジナルバージョンは改ざんされておらず、GitHubからダウンロードしても安全だと付け加えた。
誰が危険にさらされているのか、そしてどのように身を守るのか
SentinelOneは、すべてのApple開発者がサードパーティ製のXcodeプロジェクトに注意する必要があると述べています。チームは、Run Script機能について知らない可能性のある新規または経験の浅い開発者は特に脆弱であると付け加えています。すべてのApple開発者は、サードパーティ製のXcodeプロジェクトを使用する際に注意を払い、悪意のあるRun Scriptがないか確認することをお勧めします。
開発者は、ビルドフェーズタブで個々のプロジェクトに悪意のある実行スクリプトが含まれていないか検査する必要があります。SentinelOneには、脅威の検出と軽減に関する詳細情報が掲載されています。
