Pesquisadores da Trend Micro descobriram, recentemente, “uma infecção incomum relacionada a projetos de desenvolvedores Xcode“, em que um malware se incorpora ao próprio projeto. Embora isso represente um risco em potencial para usuários finais, o maior problema está na ponta dos desenvolvedores.
O malware, que faz parte da família XCSSET [PDF], se incorpora em arquivos que permitem “comandar e controlar o sistema alvo”. Com isso, uma ampla variedade de ações podem ser realizadas pelo invasor, incluindo “aquisição de dados pessoais e execução de um ataque do tipo ransomware envolvendo criptografia”.
Depois de instalado, o malware é capaz de atacar o Safari e outros navegadores no Mac para adquirir informações sigilosas. Além disso, o código malicioso consegue infectar o WebKit para criar um app falso que é executado no lugar da versão legítima — o que pode acontecer sem a interação de um usuário.
Segundo a Trend Micro, a natureza “incomum” do malware parte da maneira como ele está sendo distribuído, ou seja, a partir da incorporação em projetos do Xcode para que, quando for distribuído, o código malicioso seja executado. Contudo, não está claro ainda como o código está sendo injetado no projeto — partindo do pressuposto que nenhum desenvolvedor faça isso intencionalmente.
A firma de segurança sugere, ainda, que a ameaça é pior quando se levam em conta projetos compartilhados por meio do GitHub, por exemplo, ou de outros repositórios de código aberto — pois isso poderia levar a uma cadeia de ataques com ainda mais potência e periculosidade.
Até agora, o malware só foi encontrado em dois projetos de pesquisa do Xcode, sendo que ambos não foram amplamente usados por outros desenvolvedores, limitando o impacto. Uma lista de 380 endereços IP1Internet protocol address, ou endereço de protocolo da internet. de vítimas foi coletada pela Trend Micro, com a grande maioria das ocorrências registradas na China e na Índia.
A Trend Micro recomenda que desenvolvedores “continuem a verificar a integridade de seus projetos para eliminar quaisquer problemas” — ou seja, o malware pode ser notado e eliminado antes da distribuição de um software.
via Threatpost
Notas de rodapé
- 1Internet protocol address, ou endereço de protocolo da internet.