Neue Mac-Malware verbreitet sich über Xcode

Bei Xcode handelt es sich um eine Entwicklungsumgebung für macOS. Diese findet ausschließlich auf dem Mac Verwendung – Windows-Rechner gehen leer aus. Über 20 Millionen registrierte Entwickler bedienen sich Apple zufolge der Programmierumgebung – damit wird diese zu einem interessanten Ziel für Malware. Ein neuer Schädling schlägt nun genau in dieser Kerbe und späht die Daten von mit Xcode erstellten Projekten aus.


XCSSET: Schadcode nistet sich in Xcode-Projekten ein
Das japanische Sicherheitsunternehmen Trend Micro legt einen Bericht vor, der die Wirkungsweise der Malware beschreibt, die durchaus ungewöhnlich ausfällt: Projekte, die auf dem Mac vorhanden sind, gehören zu den Zielen des XCSSET genannten Schädlings. Wird die so infizierte Software kompiliert, greift der Schadcode und nutzt die Schwachstelle aus: Zwei 0-day-Exploits greifen die vom Anwender benutzten Browser an mit dem Zweck, Zugangsdaten zu gewinnen und Cookies aus Safari auszulesen – besonders die Entwickler-Version des Apple-Browsers steht im Fokus derartiger Angriffe. Doch damit nicht genug: Auch Informationen, die Apps wie Evernote, Notizen, Skype, Telegram, QQ und WeChat bereitstellen, lassen sich von der Malware abgreifen. Sie ist sogar in der Lage, Screenshots zu erstellen und weitere Dateien des Angegriffenen zu kompromittieren.

Die Malware befindet sich in einem versteckten Ordner.
Quelle: Trend Micro

Trend Micro mahnt zur Vorsicht
XCSSET schreckt auch vor Erpressungstrojanern nicht zurück. Verbreitung findet die Malware unter anderem über Github: Trend Micro identifizierte bereits mehrere Entwickler, die infizierte Projekte über diese Plattform bereitgestellt haben. Unklar ist weiterhin die ursprüngliche Quelle der Malware; die Autoren des Berichts erstellten allerdings eine Liste von 380 Opfern von XCSSET – die meisten von ihnen befinden sich in China sowie Indien. Das Sicherheitsunternehmen rät Xcode-Entwicklern dazu, der Integrität der eigenen Projekte einer dreimaligen Prüfung zu unterziehen, um eine Infektion mit der Malware nach Möglichkeit zu vermeiden.

Kommentare

iQuaser
iQuaser17.08.20 14:56
Und wie fängt man sich die Malware in Xcode ein?
-2
Heinzchen
Heinzchen17.08.20 14:58
iQuaser
Und wie fängt man sich die Malware in Xcode ein?
Liest Du den Text eigentlich?
Meinung bilden statt Meinung machen.
+4
ShumweightBerlin
ShumweightBerlin17.08.20 15:18
iQuaser

Hab ich auch nicht herauslesen können. Normalerweise lege ich Projekte neu an, wie kommt der Schädling da rein?
0
ShumweightBerlin
ShumweightBerlin17.08.20 15:21
ShumweightBerlin

Andere Quelle (Macrumors): The malware is unusual because it is injected into Xcode projects, and when the project is built, the malicious code is run.
Es geht aber wohl um Projekte bei GitHub.
+3
Sindbad17.08.20 16:57
Das sieht nicht gut aus:

Macrumors:
"Affected developers may unwittingly distribute the trojan to their users in the form of compromized Xcode projects and built applications. The malware is particularly dangerous because verification methods, such as checking hashes, would not identify infection as the developers would be unaware that they are distributing malicious files."
(Danke @ShumweightBerlin)

=>>
Vertrauenswürdige Entwickler können das unwissentlich als Trojaner in Form von kompromittierten Xcode-Projekten und erstellten Anwendungen an ihre Benutzer verteilen!
+1
ttwm17.08.20 17:40
Die kompletten Zusammenhänge sind für mich trotzdem nicht erklärt…
Es gibt einen Schadcode, okay…
Wie ist der in die einzelnen Projekte auf GitHub und Co. überhaupt gekommen?
Wenn besagte "vertrauenswürdige Entwickler" diese Quellen aus GitHub & Co. verwenden - dann sollte ja auch die Quelle eigentlich "vertrauenswürdig" sein (wenn sowas in einem Produktiv-System heruntergeladen/eingebunden wird).

Vielleicht kann man mich ja erleuchten…
-1
Weia
Weia17.08.20 18:19
ttwm
Wenn besagte "vertrauenswürdige Entwickler" diese Quellen aus GitHub & Co. verwenden - dann sollte ja auch die Quelle eigentlich "vertrauenswürdig" sein (wenn sowas in einem Produktiv-System heruntergeladen/eingebunden wird).
Nö, da besteht kein Zusammenhang. Ein „vertrauenswürdiger Entwickler“ im Sinne des Apple-Ökosystems ist ein Entwickler, der bei Apple als Entwickler registriert ist. Aber natürlich kann solch ein Entwickler Open-Source-Code zum Beispiel von GitHub oder anderen Quellen verwenden, ohne dass dessen Autoren ihrerseits bei Apple registriert sind.
Not every story must end with a battle (Ophelia, in der umwerfend guten feministischen Adaption des Hamlet-Stoffes in dem Film „Ophelia“)
-1
ttwm17.08.20 18:30
Weia
Nö, da besteht kein Zusammenhang. Ein „vertrauenswürdiger Entwickler“ im Sinne des Apple-Ökosystems ist ein Entwickler, der bei Apple als Entwickler registriert ist.
Das mag im Sinne des Apple-Ökosystems so sein (welche diesen Begriff in diesem Zusammenhang aber nicht ins Spiel gebracht haben). Für mich ist ein vertrauenswürdiger Entwickler (bzw. eine entsprechende Firma) aber mehr/allumfassend. Ist z. B. Bombich nicht vertrauenswürdig - obwohl deren Software nicht im AppStore zu finden ist (Bombich ist nur ein Beispiel, ich hab kein Interesse denen zu unterstellen, dass ihre Software "verseucht" ist noch dass sie unseriös wären)?
0
Weia
Weia17.08.20 18:43
ttwm
Das mag im Sinne des Apple-Ökosystems so sein (welche diesen Begriff in diesem Zusammenhang aber nicht ins Spiel gebracht haben).
Xcode ist ein Apple-only-Entwicklungswerkzeug. Selbstverständlich bedeutet die Formulierung „vertrauenswürdiger Entwickler“ daher genau das.
Für mich ist ein vertrauenswürdiger Entwickler (bzw. eine entsprechende Firma) aber mehr/allumfassend. Ist z. B. Bombich nicht vertrauenswürdig - obwohl deren Software nicht im AppStore zu finden ist
Mit dem App Store hat das überhaupt nichts zu tun. Ein „vertrauenswürdiger Entwickler“ ist einer, der bei Apple registriert ist und daher in seine App ein von Apple online validiertes Zertifikat einfügen kann.

Stammt eine Software nicht von einem „vertrauenswürdigen Entwickler“, lässt sie sich mit den normalen Sicherheitseinstellungen unter macOS gar nicht mehr ohne weiteres starten. Bombich ist also selbstverständlich ein „vertrauenswürdiger Entwickler“ in diesem Sinne. Ohne diese spezifische Bedeutung wäre der Begriff lediglich eine bedeutungslose Floskel. Was sollte denn bitte ein „allumfassend vertrauenswürdiger Entwickler“ auf GitHub sein?

Und genau das ist das Problematische an der Geschichte: Wenn sich eine Software ohne weiteres auf einem Mac starten lässt, kann bzw. konnte man bereits davon ausgehen, dass minimale Sicherheitsstandards erfüllt sind. Trotzdem könnte diese Software jetzt Schädlinge enthalten, weil der „vertrauenswürdige Entwickler“ die völlig ohne sein Wissen mit vertreibt.
Not every story must end with a battle (Ophelia, in der umwerfend guten feministischen Adaption des Hamlet-Stoffes in dem Film „Ophelia“)
0
rmayergfx
rmayergfx18.08.20 15:21
Das Problem sind doch nicht die "vertrauenswürdige Entwickler", egal in welchem Universum diese unterwegs sind. Ein Entwickler der in etlichen Foren und Plattformen unterwegs ist und viele Snippets und Codes zur Verfügung stellt ist nicht davor geschützt, das die Plattform darunter gehackt wird. GitHub und andere Plattformen sind immer wieder Ziel von solchen Angriffen. Da genügt es die bestehenden Projekte auf GitHub zu infizieren, sobald das Projekt kompiliert wird ist die Malware aktiv.

Solche Dinge passieren immer wieder, es gibt etliche Plattformen oder Betreiber die auch schon unwissentlich Trojaner oder Malware verbreitet haben, z.B. HandBrake war in der Vergangenheit auch schon einmal Opfer und verteilte munter Malware, da einer ihrer Mirror-Server komprimitiert wurde.

Daher muss man seinen veröffentlichen Code/App regelmäßig prüfen, was gerade bei vielen "inaktiven" Entwicklern nicht mehr geschieht, da sollte man 2x prüfen, ob sich da nicht etwas eingeschlichen hat, oder sich nach einer aktuelleren Resource/Alternative umschauen!
Der Computer soll die Arbeit des Menschen erleichtern, nicht umgekehrt !
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.