XCodeSpy: Manipuliertes Xcode-Projekt soll Backdoor auf Entwickler-Macs bringen

Sicherheitsforscher warnen vor einer neuen Malware, die auf Apples Entwicklungsumgebung Xcode und damit auf iOS- und Mac-Entwickler abzielt: Man habe ein "trojanisiertes Xcode-Projekt" in freier Wildbahn gefunden, das bei der Verwendung versucht, ein Überwachungs-Tool auf dem zur Software-Entwicklung verwendeten Mac zu installieren, wie die Sicherheitsfirma Sentinel One berichtet. Die auf dem Open-Source-Tool EggShell basierende Backdoor könne nach erfolgreicher Installation unter anderem Tastatureingaben erfassen, sowie Mikrofon und Kamera aktivieren.

Run Script in manipuliertem Xcode-Projekt

Ausgeliefert wurde der Schädling über eine manipulierte Kopie des legitimen Xcode-Projektes TabBarInteraction, das – schädlingsfrei – über Github vertrieben wird, wie Sentinel One erläutert. Das Open-Source-Projekt soll Entwicklern bei der Animation von Tab-Leisten in iOS-Apps helfen. Die bösartige Kopie haben neben dem Code des Originals auch ein verstecktes "Run Script" enthalten. Es wird beim Build-Prozess mit ausgeführt und versucht daraufhin, einen Kontrollserver zu kontaktieren, die Backdoor zu laden und einzuschleusen.

Das manipulierte Xcode-Projekt sei wohl zwischen Juli und Oktober 2020 im Umlauf gewesen und es habe mindestens eine Infektion in einer US-Firma gegeben, heißt es bei der Sicherheitsfirma. Man habe auch Hinweise auf Angriffe auf Entwickler in Asien. Mit dem Befehl

find . -name "project.pbxproj" -print0 | xargs -0 awk '/shellScript/ && /eval/{print "\033[37m" $0 "\033[31m" FILENAME}'

können Entwickler eine manuelle Suche nach Shell-Skripten in Xcode-Projekten durchführen, so die Sicherheitsforscher. Sie haben auch eine Liste mit Verzeichnissen und Dateien veröffentlicht, die ein "Indikator für eine Kompromittierung" sein können, da sich dies aber jederzeit leicht ändern könne, gebe das nur über eine zurückliegende Infektion Aufschluss. Einzelne Projekte lassen sich in Build-Phases-Reiter in Xcode auf Run Scripts inspizieren.

Entwickler als attraktives Ziel

Welchem Zweck das Einschleusen der Backdoor dient, bleibt unklar. Möglicherweise handelte es sich um einen gezielten Angriff auf bestimmte Entwickler, spekulieren die Sicherheitsforscher. Entwickler seien aber generell ein interessantes Ziel, etwa auch um Apple-IDs für die Verbreitung von Malware einzusammeln. Zudem wäre es denkbar, auf diese Weise auch Schadcode in per Xcode erstellte Programme einzuschleusen. Vor rund sechs Jahren sorgte "XcodeGhost" für Aufsehen: Eine manipulierte Xcode-Version hatte damals dafür gesorgt, dass Malware bis in den App Store gelangte – unter anderem in populären Apps wie WeChat.

(lbe)