SentinelOne, leverancier van autonome endpoint-bescherming, heeft een malware-campagne ontdekt die zich richt op macOS-ontwikkelaars. Door misbruik te maken van de Run Script-feature in Apple’s Xcode IDE werden nietsvermoedende MacOS-ontwikkelaars geïnfecteerd via gedeelde Xcode Projects.
Het kwaadaardige XcodeSpy-project is een gemanipuleerde versie van een legitiem, open-source project dat beschikbaar is op GitHub. De XcodeSpy-versie is echter subtiel gewijzigd om een onbekend Run Script uit te voeren wanneer het build target van de developer wordt gelanceerd. Vervolgens wordt een aangepaste variant van de EggShell-backdoor geïnstalleerd op de macOS-computer van de software-ontwikkelaar, samen met een persistence-mechanisme. Met behulp van deze achterdeur wordt toegang verschaft tot de microfoon, camera en het toetsenbord van het slachtoffer. Ook konden cybercriminelen via deze weg bestanden uploaden en downloaden.
De aanval past bij de opkomst van twee nieuwe, verontrustende trends: het targeten van software-ontwikkelaars en het gebruik van supply-chain-aanvallen om grote groepen klanten te infecteren. De XcodeSpy-aanval is vergelijkbaar met de Noord-Koreaanse aanval die eerder dit jaar door Google TAG werd ontdekt. Deze aanval richtte zich op security-onderzoekers en -developers door middel van gedeelde Visual Studio-projecten die bedoeld waren om een kwaadaardige DLL te laden.
Omdat de XcodeSpy-infectievector ook kan worden gebruikt door andere threat actors, adviseert SentinelOne alle MacOS-ontwikkelaars die Xcode gebruiken voorzichtig te zijn bij het adopteren van gedeelde Xcode-projecten.
