Разработчикам следует остерегаться XcodeSpy — вредоносного проекта Xcode, который устанавливает на компьютер с macOS модифицированную версию бэкдора EggShell, согласно новому исследованию, опубликованному сегодня компанией SentinelOne (через Ars Technica).

Xcode — это программное обеспечение, предназначенное для разработчиков, которые хотят создавать приложения для платформ iOS и macOS, а распространяемый вредоносный проект имитирует TabBarInteraction, легитимный проект с открытым исходным кодом.

Разработчики, которые скачивают проект XcodeSpy, думают, что получают TabBarInteraction, но вредоносное ПО включает в себя скрытый исполняемый файл «run Script», который загружает и устанавливает бэкдор с открытым исходным кодом EggShell, способный шпионить за пользователями через микрофон, камеру и клавиатуру, а также загружать и скачивать файлы.

Было обнаружено, что два варианта этой пользовательской атаки EggShell были загружены в Японии, сначала в августе, а затем в октябре, так что эта атака существует в дикой природе уже некоторое время.

На данный момент нам не удалось обнаружить другие образцы троянизированных проектов Xcode и мы не можем оценить масштабы этой деятельности. Однако временные рамки известных образцов и другие упомянутые ниже индикаторы предполагают, что могут существовать и другие проекты XcodeSpy. Делясь подробностями этой кампании, мы надеемся повысить осведомленность об этом векторе атаки и подчеркнуть тот факт, что разработчики являются ценными целями для злоумышленников.

SentinelOne заявляет, что всем разработчикам Apple, использующим Xcode, следует проявлять осторожность при работе с общими проектами Xcode.