Os próprios developers podem não estar cientes deste problema, considerando que este não aparece até que as aplicações sejam construídas e distribuídas.
A Trend Micro identificou uma nova forma insidiosa de malware do Mac que é propagada ao se injetar em projetos Xcode antes de serem compilados como aplicações.
Tão bom que tentaram duas vezes
Já vimos um ataque semelhante antes. O chamado ” XCode Ghost ” era uma versão infestada de malware do ambiente de developer da Apple, distribuída fora dos canais da Apple. As aplicações desenvolvidas com o software foram pré-instalados com malware.
Embora os investigadores de segurança estivessem justamente preocupados com o XCode Ghost , o problema foi rapidamente contido, pois a Apple aproveitou o momento para enfatizar a necessidade de fazer downloads de arquivos críticos apenas de App Stores de boa fé. É muito mais fácil subverter sistemas através de lojas de aplicaões de terceiros mal protegidas, e a segurança é parte do que pagamos quando compramos uma aplicação.
Ao mesmo tempo, aquele incidente em particular serviu como uma boa ilustração de até que ponto os maus atores irão para subverter os sistemas.
Nesse caso, trabalharam para criar um ambiente alternativo no qual o dano real foi causado algum tempo depois, quando as aplicações foram lançadas.
O último desafio, que a Trend Micro diz fazer parte da “família” XCSSET, é semelhante, na medida em que funciona para infectar aplicações antes de serem criadas, com código malicioso escondido dentro das aplicações que eventualmente aparecem.
Developers: protejam os seus ativos GitHub
A Trend Micro avisa que identificou developers afetados por este malware que estão a partilhar os seus projetos através do GitHub, o que sugere uma proliferação precoce através de um ataque à cadeia de suprimentos. Basicamente, os malfeitores do malware tentam infectar arquivos armazenados no GitHub.
Os próprios developers podem não estar cientes deste problema, considerando que este não aparece até que as aplicações sejam construídas e distribuídas.
Os utilizadores afetados verão a segurança do navegador comprometida, com cookies lidos e partilhados e backdoors criados em JavaScript que os autores de malware poderão então explorar, disse a Trend Micro. Os dados de outras aplicações também podem correr o risco de fuga.
“O método de distribuição usado só pode ser descrito como inteligente. Os developers afetados distribuirão involuntariamente o trojan malicioso aos seus utilizadores na forma de projetos Xcode comprometidos, e métodos para verificar o arquivo distribuído (como a verificação de hashes) não ajudarão, pois os developers não saberaão que estão a distribuir arquivos maliciosos ”. TrendMicro.
O que fazer
A Apple está ciente deste novo problema e está a avisar todos os utilizadores para não fazeremm downloads de aplicações de entidades desconhecidas ou App Stores e acredita-se que esteja a tomar medidas para lidar com a ameaça numa atualização de segurança futura. Os developers, por sua vez, devem garantir a segurança de seus repositórios GitHub e verificarem novamente seus ativos.
Os utilizadores Mac devem apenas fazer downlads de itens de fontes aprovadas e podem querer considerar a instalação e execução do software de proteção de segurança mais recente para ajudar a verificar a segurança do sistema existente. O número rapidamente crescente de empresas que usam Mac deve encorajar os seus utilizadpores a verificar novamente a segurança de seu próprio sistema, garantindo que o código desenvolvido internamente esteja seguro contra esta nova infecção incomum.
É importante não exagerar, no entanto. No momento, isto não é um flagelo, mas uma ameaça relativamente pequena. No entanto, é aquele que reflete as tendências atuais de segurança, conforme os fabricantes de malware se tornam mais inteligentes em suas tentativas.