網(wǎng)絡(luò)安全研究人員近期披露了一種新的攻擊手法，攻擊者利用植入后門的 Xcode 作為攻擊媒介攻擊蘋果平臺(tái)的開發(fā)人員，可以發(fā)現(xiàn)從供應(yīng)鏈入手攻擊開發(fā)人員和研究人員的狀況已經(jīng)愈演愈烈。

Xcode 是 Apple 針對(duì) macOS 的集成開發(fā)環(huán)境(IDE)，可用于為 macOS、iOS、iPadOS、watchOS 和 tvOS 開發(fā)軟件。Xcode 允許開發(fā)人員在啟動(dòng)實(shí)例時(shí)運(yùn)行自定義腳本，但控制臺(tái)和調(diào)試器中沒有該腳本執(zhí)行的提示，因此缺乏經(jīng)驗(yàn)的開發(fā)者會(huì)面臨極大的風(fēng)險(xiǎn)。

被植入后門的 Xcode 項(xiàng)目名為 XcodeSpy，是基于 GitHub 上名為 TabBarInteraction的開源項(xiàng)目進(jìn)行后門植入后得到的，該項(xiàng)目可根據(jù)用戶交互與 iOS 標(biāo)簽欄存在動(dòng)畫交互。

SentinelOne 的研究人員表示：“XcodeSpy 會(huì)在開發(fā)人員的 macOS 上安裝定制化 EggShell 后門進(jìn)行持久化”。SentinelOne 表示，一共發(fā)現(xiàn)了兩個(gè)定制的 EggShell 后門，并且發(fā)現(xiàn)樣本在 2020 年 8 月 5 日和 2020 年 10 月 13 日從日本上傳到 VirusTotal。

今年早些時(shí)候，Google 發(fā)現(xiàn)了針對(duì)安全研究人員的攻擊，在 Windows 平臺(tái)上利用 Visual Studio 工程加載惡意 DLL 文件。此次的 Xcode 污染與之類似，區(qū)別只是針對(duì) Apple 平臺(tái)的開發(fā)人員。

XcodeSpy 中的惡意腳本會(huì)在開發(fā)人員構(gòu)建工程時(shí)啟動(dòng)，從 C&C 服務(wù)器下載定制的 EggShell 后門，該后門可以在失陷主機(jī)進(jìn)行竊取鍵盤擊鍵記錄、麥克風(fēng)錄音、攝像頭錄像等操作。

此前的 XCodeGhost 也利用 Xcode 將惡意代碼注入到了 Xcode 編譯的 iOS 應(yīng)用程序中，通過 App Store 上下載的應(yīng)用程序也存在問題，波及上億臺(tái)設(shè)備。2020 年 8 月，趨勢科技的研究員又發(fā)現(xiàn)了類似的攻擊，修改后的 Xcode 會(huì)安裝名為 XCSSET 的惡意軟件來竊取憑據(jù)、屏幕截圖、竊取敏感數(shù)據(jù)甚至加密系統(tǒng)勒索贖金。

“針對(duì)軟件開發(fā)人員是成功的供應(yīng)鏈攻擊的第一步，想達(dá)到這個(gè)目的的一個(gè)方法就是對(duì)開發(fā)者必需的開發(fā)工具的投毒”，“XcodeSpy 這種攻擊方式完全有可能針對(duì)特定的開發(fā)人員，當(dāng)然攻擊者也有可能是為了更大規(guī)模的攻擊做準(zhǔn)備”。

參考來源：TheHackerNews