苹果开发者被盯上嘎啦，Xcode又双叒叕被攻击‌

转载：本文嚟自微信公众号“CSDN”（ID:CSDNnews），作者：Carol，转载经授权发布。

呢排，有研究人员表示在wild发现‌一个木马代码库”XcodeSpy”。这是一个针对Xcode开发者嘅全新嘅恶意软件，利用编码平台嘅脚本功能，喺受影响嘅设备上安装后门。

开发者利用Xcode在iPhone、iPad、Mac等设备上创建应用程序，随后恶意软件就会感染MacOS上嘅Xcode集成开发环境（IDE）。

以脚本嘅方式，启动即运行

Xcode是苹果为iOS同第啲苹果操作系统编写应用程序嘅开发者提供嘅免费开发工具，等开发者轻松根据用户交互嚟制作iOS标签栏嘅动画，佢是一个存储住所有应用所需嘅文件、资源同信息嘅仓库。

根据安全专家表示，攻击者正喺度利用IDE（集成开发环境）中嘅Run Script功能嚟等病毒感染使用Xcode项目嘅苹果开发者。除此之外，有研究人员发现目前有黑客根据一个Github上嘅合法项目为基础，篡改‌一个恶意版本（原项目主要为iOS开发者提供iOS Tab Bar动画化嘅高级功能），然后利用所谓嘅“trojanized Xcode project”（木马化 Xcode 项目）嚟感染苹果开发者。

呢个恶意版本被称为“运行脚本”，该脚本在开发者构建嘅版本启动时就会执行，并且自动下载安装自定义嘅带有持耐性机制嘅EggShell后门嘅定制变体，通过用户嘅麦克风、摄像头同键盘嚟监视用户。

极易混淆，系统难以捕捉

呢种攻击依赖于Xcode中嘅Run Script功能，由于该功能允许开发人员在启动应用程序嘅实例时运行一个自定义嘅Shell脚本，就被混淆嘎啦，因为在控制台或者调试器中没有任何迹象表明恶意版本已经被执行。

有经验嘅开发人员应该知道在使用第三方Xcode项目之前需要检查恶意运行脚本嘅重要性。不过，虽然检测脚本并唔困难，但是XcodeSpy嘅攻击，都试图通过对脚本进行编码嚟增加检测难度。

图片来源：SentinelOne

如上图，当开发人员解码后，好明显睇到脚本联系‌Cralev嘅服务器，然后通过服务器内置嘅反向Shell发送「mdbcmd」嘅神秘命令。

图片来源：SentinelOne

而在运行Xcode项目后，开发者唯一能收到嘅提示是普通嘅第三方下载安装警告：“project”是一个从互联网上下载嘅工作区。你确定要打开佢吗？打开、构建或运行一个包含恶意代码嘅项目可能会伤害你嘅mac或危及你嘅隐私。喺打开项目之前，请确保您信任佢嘅源代码。

Xcode相关攻击并非首次

咁样普通嘅警告，对于开发者嚟讲十分考验严谨度同对攻击载体嘅认知。而实际上，黑客关于Xcode嘅攻击都从未停止过。

2020年8月，多个Xcode项目中被发现包含XCSSET恶意软件系列。呢啲软件利用‌当时嘅两个Safari零日漏洞，导致恶意有效荷载嘅Rabbit Hole。一旦XCSSET项目被打开并构建，恶意代码就会在开发者嘅Mac上运行。

呢啲系统主要由开发人员使用，XCSSET恶意软件套件能够坚持Safari网络浏览器，并注入各种JavaScript有效负载，呢啲负载可以窃取密码、金融数据同个人信息，部署赎金等。通过研究人员嘅追踪，发现隐藏在项目中嘅出事有效荷载以Mach-O可执行文件嘅形式出现，位于其中一个.xcodeproj文件中。

2015年，4000个iOS应用程序受到‌XcodeGhost嘅感染。XcodeGhost是被篡改嘅Xcode版本嘅名话，使用XcodeGhost编译嘅应用程序会被攻击者用于读写设备剪贴板，打开特定嘅URL，并窃取数据。

同XcodeGhost不同，本次攻击Xcode嘅恶意软件XcodeSpy嘅目标是开发者，但观察到XcodeSpy仲安装‌监控后门，所以不排除后续嘅攻击对象都包含‌用户。

开发者需更谨慎

根据网络安全公司SentinelOne嘅研究人员提示：呢次事件嘅攻击者可能只是在搜寻“有趣嘅目标”，包括但不限于：为未嚟嘅活动收集数据、试图收集AppleID证书、在第啲使用带有有效苹果开发者代码签名嘅恶意软件嘅活动中使用等，甚至呢啲情况有可能同时发生。

通过呢次针对Xcode嘅攻击可以发现，开发人员是攻击者嘅高价值目标，开发者应该提高对呢种载体嘅认知，所有嘅苹果开发者都应该警惕第三方Xcode项目，喺使用第三方Xcode项目时，谨慎实践，喺Build Phases选项卡中检查各个项目系咪存在恶意RunScripts。尤其系经验尚浅嘅开发者可能不知道Run Script功能，会特别容易受到攻击，更需要提起十二分精神。

目前，iOS Tab Bar项目嘅原始版本“TabBarInteraction”没有被篡改，但系以从GitHub上安全下载。