研究：駭客又在合法的蘋果Xcode專案上植入惡意程式

美國資安新創SentinelOne本周揭露了一起鎖定蘋果開發者的攻擊行動，駭客透過惡意的Xcode共享專案XcodeSpy，來入侵開發者的macOS電腦，進而植入EggShell後門程式，監控受害者的麥克風、攝影機與鍵盤，還能上傳與下載資料。

Xcode為蘋果所提供的集成開發環境（IDE），可用來打造支援macOS、iOS、iPadOS、watchOS及tvOS的程式，遭到駭客利用的是一個名為TabBarInteraction的合法Xcode專案，它是個開源專案，可協助開發人員根據使用者的互動來替iOS的標籤欄設計動畫，但駭客卻在TabBarInteraction中植入了惡意的腳本程式，只要一執行就會自駭客所控制的伺服器下載，並安裝客製化的EggShell後門程式。

研究人員把此一嵌入惡意功能的專案稱為XcodeSpy，同時強調Github上的TabBarInteraction是無毒的，而TabBarInteraction作者potato04亦與此一惡意行動無關。

分析顯示，XcodeSpy濫用了Xcode內建的Run Script功能，此一功能允許開發者可在啟用應用程式實例時，執行一個客製化的介殼腳本程式，而XcodeSpy所植入的腳本程式就是透過該功能自遠端伺服器下載EggShell。

圖片來源／SentinelOne

SentinelOne並未公布XcodeSpy散布的管道，亦不確定駭客的動機，猜測駭客可能鎖定特定的開發者，或者是有價值的受害者，也可能只是想取得這些開發者的蘋果憑證，以利之後的攻擊。

去年也曾傳出有惡意程式透過Xcode專案散布，而且該惡意程式還鎖定了蘋果的零時差漏洞。

XcodeSpy反映出近來駭客對開發人員的濃厚興趣，它所部署的後門程式會側錄開發者的鍵盤、麥克風與攝影機，而今年初包括Google與微軟都曾提出警告，北韓駭客正鎖定資安研究人員展開攻擊，他們發現的兩起攻擊都是為了竊取開發者系統上的資料，被歸類為間諜行動。