安全研究人員近日發現了針對Xcode開發者的全新惡意軟件–XcodeSpy，它利用編碼平台的腳本功能在受影響的設備上安裝後門。開發者利用Xcode為iPhone、iPad、Mac等設備創建應用程序，而該惡意軟件會感染macOS上的Xcode集成開發環境（IDE）。

據SentinelLabs的安全專家表示，不良行為者正在利用IDE中的Run Script功能，感染使用共享Xcode項目的蘋果開發者。研究人員表示已經有證據表明有黑客利用所謂的“trojanized Xcode project”（木馬化Xcode項目）來感染iOS開發者。而該項目是Github上一個合法項目（為iOS開發者提供iOS Tab Bar動畫化的高級功能）的篡改版本。

一旦惡意Xcode 項目被下載並啟動，它就會安裝一個帶有持久性機制的EggShell 後門的定制變體。研究人員表示，該後門可以讓攻擊者上傳或下載文件，並記錄受害者的麥克風、攝像頭和鍵盤。

如上文所述，該攻擊依賴於Xcode 中的Run Script 功能。該功能允許開發人員在啟動其應用程序的實例時運行一個自定義的shell 腳本。它被混淆了，因為在控制台或調試器中沒有任何跡象表明惡意腳本已被執行。

SentinelOne 表示，目前至少有一家美國組織遭到該惡意軟件攻擊。據報導，該活動在2020年7月至10月之間生效，也可能針對亞洲的開發人員。研究人員表示，他們不知道野外還有其他惡意的Xcode項目，無法衡量這是否是一個重大問題。然而，有一些跡象表明，其他木馬化的Xcode項目可能存在。

SentinelOne 在一篇博客文章中寫道：“通過分享這次活動的細節，我們希望提高人們對這種攻擊載體的認識，並強調開發人員是攻擊者的高價值目標”。研究人員補充說，iOS Tab Bar項目的原始版本被稱為TabBarInteraction，沒有被篡改，可以從GitHub上安全下載。

SentinelOne 表示，所有蘋果開發者都應該警惕第三方Xcode 項目。該團隊補充說，新的或沒有經驗的開發者可能不知道Run Script 功能，特別容易受到攻擊。建議所有蘋果開發者在使用第三方Xcode項目時，謹慎實踐，檢查是否有惡意的Run Scripts。開發人員應該在Build Phases選項卡中檢查各個項目是否存在惡意Run Scripts。