Исследователи безопасности обнаружили библиотеку с трояном, которая устанавливает вредоносное шпионское ПО на Mac iOS-разработчиков.
Эта библиотека является копией TabBarInteraction, нормального проекта с открытым исходным кодом, который упрощает разработчикам анимацию иконок на панели вкладок в iOS.
Однако вместе с легитимным кодом в ней существует сложный скрипт, известный как «Run Script». Сценарий запускается в Xcode всякий раз при сборке проекта с библиотекой, он связывается с сервером, контролируемым злоумышленником, и загружает и устанавливает специальную версию EggShell, бэкдор с открытым исходным кодом, который шпионит за пользователями через микрофон, камеру и клавиатуру.
Исследователи из SentinelOne, компании, обнаружившей троянизированный проект, назвали его XcodeSpy.
«Более поздний образец также был найден в диком виде в конце 2020 года на Mac жертвы в США», — написал в четверг в блоге исследователь SentinelOne Фил Стоукс. «Из соображений конфиденциальности мы не можем предоставить дополнительную информацию об инциденте. Однако жертва сообщила, что она неоднократно становилась мишенью северокорейских хакеров, и что инфекция обнаружилась в рамках их регулярной деятельности по поиску угроз».
Пока что исследователям компании известно только об одном случае заражения, произошедшем в американской компании. По данным SentinelOne, троян «действовал по крайней мере с июля по октябрь 2020 года и, возможно, был нацелен на разработчиков в Азии».