SentinelOneの脅威インテリジェンス/マルウェア分析部門であるSentinelLabsは米国時間3月18日、Apple製品向けアプリの開発者が使用するシステムを乗っ取り、カスタマイズされた「EggShell」バックドアを拡散させるという、悪意ある「Xcode」プロジェクトが発見されたことを明らかにした。
「XcodeSpy」というマルウェアは、「macOS」でAppleのソフトウェアやアプリケーションを開発するために用いられる統合開発環境(IDE)のXcodeを標的にしている。
SentinelLabsが公開したリサーチによると、攻撃者らはXcodeの「Run Script」機能を悪用し、オンラインで自由に共有されているXcodeプロジェクトをトロイの木馬化するという手段によって、「iOS」開発者に対する標的型攻撃を実施しているという。
トロイの木馬化される前のXcodeプロジェクトは、オープンソースとしてGitHubで公開されている正規のものだ。XcodeSpyが仕込まれたプロジェクトは、iOSのタブバーのアニメーション関連で「高度な機能」を実現しているとうたっている。しかし、その初期ビルドをダウンロードし、起動すると、悪意のあるスクリプトがデプロイされ、EggShellバックドアがインストールされるようになっている。
SentinelLabsのリサーチャーが調査した悪意あるプロジェクトは、「TabBarInteraction」という正規のプロジェクトを改変したものだ。このGithubプロジェクトのコードやその開発者はXcodeSpyに感染していないという。
このRunスクリプトは、攻撃者のコマンド&コントロール(C2)サーバーと開発者のプロジェクトを接続するよう、ひそかに改ざんされている。悪用されているのは、アプリのインスタンス起動時に、カスタム化されたシェルスクリプトを実行できるようにするというXcodeの機能だ。
このスクリプトは起動されるとC2サーバーにアクセスし、EggShellバックドアのカスタム化された亜種をダウンロードする。そしてこのバックドア経由で、永続的に稼働するユーザーLaunchAgentがインストールされることになる。
EggShellは、標的となった開発者のマイクやカメラ、キーボードを乗っ取るとともに、ファイルをアップロード、ダウンロードする機能も有している。
SentinelLabsは、米国組織の少なくとも1つがこの種の攻撃の標的になったとし、アジア地域の開発者らが集中的に攻撃されたようだと述べている。SentinelLabsによると、攻撃キャンペーンは少なくとも2020年7月から10月の間に発生したとみられる。
リサーチャーらは「XcodeSpyは開発者が作り出した製品や、そのクライアントを標的にしているというよりも、開発者自身を直接標的にしていると考えられる。またこれは、開発者の作業環境にバックドアを仕掛けるところから、その開発者のソフトウェアを使用するユーザーにマルウェアを送り込むまでを短い工程で実現する手段だ」としている。また、「Apple製品向けアプリの開発者すべては、サードパーティーによって開発されたXcodeプロジェクトを採用する際には必ず、悪意を持ったRunスクリプトが潜んでいないかどうかを注意深く評価するべきだ」と述べている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。