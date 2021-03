Une nouvelle menace de porte dérobée a été découverte qui vise à compromettre les Mac des développeurs Apple avec un projet Xcode trojanisé. Ce logiciel malveillant peut enregistrer le microphone, la caméra, le clavier des victimes et également télécharger / télécharger des fichiers. Le premier exemple sauvage de la menace a été trouvé au sein d’une organisation américaine.

Le nouveau projet Xcode malveillant a été découvert par Sentinel Labs (via Ars Technica). Les chercheurs ont nommé la menace «XcodeSpy» qui est une version personnalisée de la porte dérobée EggShell pour compromettre macOS.

Le code trojanized se cache comme une réplique maclious d’un projet Xcode open-source légitime et fonctionne en exploitant la fonction Run Script dans l’IDE Xcode. Sentinel Labs explique:

Nous avons récemment pris connaissance d’un projet Xcode trojanized dans la nature ciblant les développeurs iOS grâce à une astuce d’un chercheur anonyme. Le projet malveillant est une version trafiquée d’un projet open source légitime disponible sur GitHub. Le projet offre aux développeurs iOS plusieurs fonctionnalités avancées pour animer la barre d’onglets iOS en fonction de l’interaction de l’utilisateur.

La version XcodeSpy, cependant, a été subtilement modifiée pour exécuter un script d’exécution obscurci lorsque la cible de construction du développeur est lancée. Le script contacte le C2 des attaquants et supprime une variante personnalisée de la porte dérobée EggShell sur la machine de développement. Le logiciel malveillant installe un utilisateur LaunchAgent pour la persistance et est capable d’enregistrer des informations à partir du microphone, de la caméra et du clavier de la victime.