Investigadores de la empresa de ciberseguridad SentinelOne han descubierto una biblioteca de código troyano que se está utilizando de forma salvaje para intentar instalar malware de espionaje en los Mac de los desarrolladores que crean aplicaciones para iOS.
Tal y como informó Ars Technica (opens in new tab), la campaña aprovecha la herramienta de desarrollo Xcode de Apple para iOS y macOS, ya que el atacante responsable ha creado un proyecto malicioso utilizando esta herramienta para propagar malware. Sin embargo, el proyecto en sí no era más que una copia de uno legítimo de código abierto llamado TabBarInteraction, creado para ayudar a los desarrolladores a animar las barras de pestañas en iOS.
- Consulta nuestra lista sobre la mejores VPN para Mac en 2021 para garantizar una mayor seguridad en tu portátil de Apple
La versión falsa de TabBarInteraction también incluía una secuencia de comandos indescifrable llamada "Run Script" ("ejecutar secuencia de comandos"), la cual se ejecuta cada vez que se lanza una compilación por parte del desarrollador. Entonces, este script se pone en contacto con un servidor controlado por el atacante para descargar e instalar una versión personalizada del malware de puerta trasera EggShell de código abierto que se utiliza para espiar a los usuarios a través de su micrófono, cámara y teclado.
XcodeSpy
Los investigadores de SentinelLabs le han dado al proyecto troyanizado el nombre XcodeSpy, ya que se aprovecha del Xcode de Apple para hacer posible que un atacante espíe a otros usuarios de Mac.
Hasta ahora se han descubierto dos variantes del malware de puerta trasera EggShell personalizado que dejó el proyecto troyanizado y ambas han sido subidas a VirusTotal para un investigación más a fondo. La primera versión se subió en agosto del año pasado, mientras que la segunda se subió en octubre.
En una nueva publicación de blog (opens in new tab) que detalla el descubrimiento de la empresa, el investigador de amenazas de SentinelOne, Phil Stokes, explicó que podría haber otros proyectos de XcodeSpy en marcha, diciendo:
“Hasta ahora no hemos podido descubrir otras variantes de proyectos Xcode troyanizados y por lo tanto no podemos medir el alcance real de esta actividad. Sin embargo, la línea de tiempo de las versiones conocidas y otros indicadores que se mencionan a continuación sugieren que pueden existir otros proyectos de XcodeSpy. Al compartir los detalles de esta campaña, esperamos crear conciencia sobre este vector de ataque y destacar el hecho de que los desarrolladores son objetivos de gran valor para los atacantes".
Para evitar ser víctimas de XcodeSpy, los desarrolladores deben tener cuidado al descargar e instalar nuevos proyectos de código abierto.
Vía Ars Technica (opens in new tab)
