El pasado Jueves se hacía público que ciertos atacantes estaban utilizando el popular IDE de MacOS Xcode para implementar backdoors en los sistemas de desarrolladores.

La metodología usada consistía en hacer uso de una versión modificada del proyecto TabBarInteraction a la que se ha bautizado como XcodeSpy, esta versión modificada aprovecha una funcionalidad del IDE que permite ejecutar un script al lanzar una instancia de la aplicación, este script descargaría una variante de la EggShell Backdoor en la máquina desde la que el atacante había obtendría acceso tanto al micro, como a la cámara y el teclado de la víctima así como la posibilidad de subir o descargar archivos.

Según fuentes de SentinelLabs el payload utilizado en este ataque fue detectado por primera vez a principios de septiembre de 2020 cuando fue subido a VirusTotal, poco después apareció el primero de sus servidores de C2 (cralev[.]me).

Métodos similares han sido explotados por atacantes en el pasado con fin de atacar a las propias aplicaciones desarrolladas en MacOs, como fue el caso de XcodeGhost o la campaña de XCSSET pero este ataque va mas allá, tratando de comprometer al propio desarrollador.

Referencias

https://thehackernews.com/2021/03/hackers-infecting-apple-app-developers.html
https://labs.sentinelone.com/new-macos-malware-xcodespy-targets-xcode-developers-with-eggshell-backdoor/
https://securityaffairs.co/wordpress/115729/malware/xcodespy-mac-malware.html

La entrada XcodeSpy: Desarrolladores de MacOS en el punto de mira se publicó primero en Una al Día.