Cyberthreat.id – Pengembang (developer) aplikasi Apple menjadi target serangan siber perangkat lunak jahat (malware) berjuluk “XcodeSpy”, menurut temuan perusahaan manajemen dan konsultan TI, Sentinel Labs.

Malware tersebut menargetkan “Xcode”, lingkungan pengembangan terintegrasi (IDE) yang digunakan di macOS untuk mengembangkan perangkat lunak dan aplikasi Apple.

Dalam laporan yang diterbitkan, Kamis (18 Maret 2021), Sentinel Labs mengatakan, malware tersebut bisa dipakai untuk membajak sistem pengembang dan menyebarkan “pintu belakang” (backdoor) kustom bernama “EggShell”.

“Fitur Run Script di IDE sedang dieksploitasi dalam serangan yang ditargetkan kepada pengembang iOS melalui proyek Trojanized Xcode yang dibagikan bebas secara online,” tutur Sentinel Labs seperti dikutip dari ZDNet, diakses Jumat (19 Maret).

---

Baca:

• Tiga Malware Ini Aktif Incar Chip M1 Apple
• XCSSET, Varian Malware Baru Pencuri Informasi di MacOS
•  Ditemukan Malware Baru Silver Sparrow yang Infeksi 29 Ribu MacBook dengan Chip M1

---

Secara sah, proyek Xcode sumber terbuka itu dapat ditemukan di GitHub, platform jaringan sosial yang diperuntukkan bagi para pengembang aplikasi.

Namun, dalam kasus ini, proyek “XcodeSpy” menawarkan "fitur lanjutan" untuk menganimasikan bilah tab iOS—dan setelah build awal diunduh dan diluncurkan—skrip berbahaya disiapkan untuk menginstal “EggShell”.

Run script IDE yang telah diretas kemudian secara diam-diam menghubungkan server perintah dan kontrol (CnC) yang dikendalikan peretas ke proyek pengembang.

Server kemudian dikontak oleh skrip untuk menarik dan mengunduh varian khusus dari “EggShell” yang menginstal LaunchAgent. Dua varian “EggShell” telah terdeteksi,  salah satunya berbagi string terenkripsi dengan “XcodeSpy”, tutur Sentinel Labs.

Menurut Sentinel Lab, “EggShell” memilik kemampuan membajak mikrofon, kamera, dan keyboard pengembang korban, serta mengambil dan mengirim file ke server CnC penyerang.

Sentinel Labs mengatakan, satu perusahaan AS telah menjadi korban. Selain itu, malware itu juga menargetkan para pengembang di Asia antara Juli dan Oktober 2020.

Sampel dari “pintu belakang” diunggah ke VirusTotal pada 5 Agustus dan 13 Oktober.

Namun, “XcodeSpy” pertama kali diunggah pada 4 September. Sentinel Labs menduga penyerang mungkin telah mengunggah sampel itu sendiri untuk menguji tingkat deteksi.

Sebelumnya, pada Agustus 2020, perusahaan keamanan siber asal Jepang, Trend Micro, juga melacak malware XCSSET di proyek Xcode, yang diduga telah menyebar untuk mengganggu peramban Safari yang dipakai untuk halaman phishing, XSS attack, dan pencurian data pengembang.[]