烽火狼烟丨新型恶意软件XcodeSpy风险提示 – 作者:WebRAY

事件概述

近日，WebRAY烽火台实验室监测到互联网上存在针对Xcode项目的恶意软件—XcodeSpy。开发者利用 Xcode 为iPhone、iPad、Mac 等设备开发应用程序，而XcodeSpy通过感染 macOS 上的 Xcode 集成开发环境（IDE）来达到安装后门的目的，该后门可以让攻击者上传或下载文件，同时记录受害者的麦克风、摄像头、键盘等信息。WebRAY烽火台实验室将持续关注该恶意软件，并第一时间为您更新该恶意软件信息。

事件影响范围

使用Xcode 服务的MacOS设备

事件等级

WebRAY烽火台实验室风险评级：高危

检测方法

可使用以下命令搜索是否存在XcodeSpy 项目：

find . -name “project.pbxproj”-print0 | xargs -0 awk ‘/shellScript/ && /eval/{print”\033[37m” $0 “\033[31m” FILENAME}’

注：此命令需要在 Xcode 项目的文件夹下运行。

该命令搜索Xcode项目构建阶段是否包含字符串shellScript和eval，亦可以通过 Xcode 中Build Phases检查单个项目是否有恶意运行脚本。

防护建议

1、警惕共享的 Xcode 项目；

2、请仔细检查第三方Xcode项目内是否含有恶意的运行脚本。

来源：freebuf.com 2021-03-22 09:54:36 by: WebRAY