SentinelOne安全研究人員剛剛發現了一款針對iOS軟件開發者的macOS惡意軟件，並將之命名為XcodeSpy 。這款在野外發現的惡意軟件，旨在滲透蘋果向開發者免費提供的Xcode開發工具。如果開發者用被感染的Xcode開發麵向iOS等平台的應用程序，就很可能在不經意間將惡意項目代碼也打包進去。

Xcode 是構建應用程序所需的所有文件、資源和信息的存儲庫。但安全研究人員在野外發現了一個試圖在開發者macOS 設備上安裝高級監視型惡意軟件的木馬代碼庫。

具體說來是，問題出在合法開源的TabBarInteraction 項目的副本上。正常情況下，開發者可藉此輕鬆創建交互（比如為iOS 選項卡添加動畫效果）。

除了合法代碼，XcodeSpy 還包含了一個模糊的“運行腳本”，會在開發者開始項目構建時被執行。在與攻擊者控制的遠程服務器進行聯繫後，還會下載並安裝定製版本的EggShell 。

所謂EggShell，特指一種開放源代碼的後門，可利用麥克風、攝像頭和鍵盤，對目標用戶展開相應的監視。

SentinelOne 安全公司研究人員Phil Stokes 在周四發表的博客文章中指出，他們發現了兩個定制化的EggShell 變種。

兩者都利用了來自日本的Web 界面來上載至VirusTotal，時間分別為8 月5 日和10 月13 日，且後續樣本還於2020 年末在美國受害者的Mac 終端上被發現。

出於保密的需求，SentinelOne 目前無法提供有關野外攻擊（ITW）事件的更多細節。但據受害者報告，他們很可能再次成為了朝方高級持續威脅（APT ）攻擊者的目標。

慶幸的是，到目前為止，研究人員僅留意到了來自美國一家組織的一個野外攻擊案例。不過跡象分析表明，相關活動至少在2020 年7~10 月之間持續開展，且同樣有可能針對亞洲地區的開發者。

此外兩個月前，微軟和谷歌研究人員均表示，有朝方背景的黑客，正在積極嘗試感染安全研究人員的計算機。為贏得研究人員的信任，黑客甚至花費了數週時間，在Twitter上精心扮演了一個角色。