I programmatori in campo sicurezza di SentinelLabs hanno individuato un nuovo malware per macOS, esso prende di mira gli sviluppatori di Xcode e riesce a sfruttare le funzionalità presenti nella piattaforma per riuscire a installarsi nei sistemi avviando poi una backdoor sui sistemi presi di mira.
Soprannominato Xcode Spy, il malware colpisce l’ambiente di sviluppo Xcode su MacOS che viene utilizzato dagli sviluppatori per produrre software per l’ecosistema Apple, esso nel dettaglio sfrutta la funzione Run Scripts nell’IDE per infettare sviluppatori Apple che fanno uso dei progetti Xcode condivisi.
Sulla rete infatti, circola un progetto Xcode modificato che contiene al proprio interno un malware, nel dettaglio parliamo di un trojan, che altro non è che la versione modificata di un progetto legittimo presente su GitHub, il quale si poneva di offrire alcune funzionalità avanzate per l’animazione della Tab Bar di iOS.
Progetto Xcode
Quando questo progetto contraffatto viene scaricato e installato, esso lancia l’installazione della backdoor EggShell accostata ad un sistema di persistenza, tale backdoor consente sostanzialmente a chi l’ha creata di gestire tutto, caricare e scaricare file, accedere al microfono per registrare e leggere anche un file log di ciò che digita la tastiera.
A renderne difficile l’individuazione, ci pensa anche un particolare script presente che ne consente un’avvio offuscato, dal momento che non vi è alcuna indicazione nella console o nel debugger che esso sia stato eseguito e/o che sia dannoso.
Si tratta dunque di un malware decisamente pericoloso per la privacy di chi viene infettato, che tra l’altro fa da sentinella d’allarme, poichè, stando a quanto dichiarato dai ricercatori di SentinelLabs, si tratterebbe di uno di tanti progetti contraffatti.