Un grupo de hacking no identificado está utilizando un sofisticado malware para dispositivos Mac con el fin de atacar a los desarrolladores de software que utilizan el entorno de desarrollo Xcode, integrado en algunos sistemas Apple. Acorde al reporte presentado por la firma de seguridad SentinelOne, esta variante de malware, identificada como XcodeSpy, parece funcionar de forma similar al backdoor conocido como EggShell. Este malware permite a los actores de amenazas espiar a los usuarios, además de cargar y descargar archivos e interceptar datos de la cámara, micrófono y teclado del sistema objetivo.
Al inicio la compañía recibió el reporte de un investigador anónimo, aunque poco después SentinelOnline confirmó la detección de múltiples casos de infecciones en escenarios reales. Uno de los desarrolladores afectados incluso afirmó que este ataque podría estar vinculado al gobierno de Corea del Norte, cuyos socios cibercriminales atacan frecuentemente a los desarrolladores de software en occidente.
Por otra parte, las muestras de XcodeSpy cargadas a la plataforma de ciberseguridad VirusTotal sugieren que este malware podría haber sido utilizado en ataques apuntando contra desarrolladores en Japón. Según SentinelOne, se ha encontrado evidencia de campañas involucrando muestras de XcodeSpy desplegadas entre julio y octubre de 2020; en al menos una de estas campañas, este malware fue entregado como una versión troyanizada de un proyecto de código abierto Xcode, mismo que fue ofrecido a algunos desarrolladores de iOS.
Los investigadores también reconocen que no han podido detectar otros proyectos de Xcode troyanizados, aunque creen que esta podría convertirse en una nueva tendencia cibercriminal: “Si bien XcodeSpy parece estar dirigido específicamente a los desarrolladores de iOS, solo hay un pequeño paso entre esta clase de ataques y la entrega de malware a los usuarios finales.”
Cabe señalar que esta no es la primera muestra de malware que apunta directamente contra desarrolladores de Xcode. Hace cerca de 5 años, un grupo de especialistas detectó un malware identificado como XcodeGhost, el cual permitió a múltiples grupos de hacking inyectar código malicioso en decenas de aplicaciones creadas por desarrolladores legítimos, empleando versiones falsas de Xcode descargadas en plataformas no oficiales.
Hace algunos meses un grupo de expertos detectó una variante de malware para dispositiovs Mac llamada XCSSET, que se propagaba a través del código inyectado en proyectos de Xcode y ejecutaba su carga útil cuando el proyecto era construido. XCSSET permite a sus operadores lanzar ataques de ransomware y robar datos de las víctimas.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.