SentinelOneは3月18日(米国時間)、「New macOS malware XcodeSpy Targets Xcode Developers with EggShell Backdoor - SentinelLabs」において、Xcodeプロジェクトの形を偽装したトロイの木馬「XcodeSpy」を発見したと伝えた。最終的にEggShellバックドアマルウェアの亜種がインストールされ、さまざまな脅威に悪用される可能性があるとされており注意が必要。

  • New macOS malware XcodeSpy Targets Xcode Developers with EggShell Backdoor - SentinelLabs

    New macOS malware XcodeSpy Targets Xcode Developers with EggShell Backdoor - SentinelLabs

開発者が正規のXcodeプロジェクトだと思ってインストールしたものが、実は改竄されたバージョンのXcodeプロジェクトだったということが攻撃の始まりになっている。ここで標的になっているのはiOSアプリの開発者。開発者がビルドターゲットを起動すると難読化された実行スクリプトが実行される仕組みになっており、結果的にEggShellバックドアマルウェアの亜種がインストールされ、さらにエージェントがインストールされマイクやカメラ、キーボードからの情報が記録可能になってしまうとされている。

これまでのところ、トロイの木馬化されたXcodeプロジェクトのほかのサンプルを見つかってはいないが、調査の結果、他のXcodeSpyプロジェクトが存在する可能性があると指摘している。

今のところ、このサイバー攻撃の目的は不明とされている。単に興味深いターゲットを探してデータ収集を行っているのか、利用できるApple IDアカウントを取得しようとしているのか、さまざまな可能性が考えられるという。Xcodeを使ったサイバー攻撃はこれが初めてではなく、2015年にはXcodeそのものが改竄された状態で配布されていたことがある。今回のXcodeSpyは改変したXcodeプロジェクトを使っており、Xcodeを改ざんする方法よりも配布が軽量になっているという特徴がある。