Onderzoekers hebben malware ontdekt die zich via Xcode-projecten verspreidt en wachtwoorden, cookies en andere data van ontwikkelaars op macOS probeert te stelen, alsmede een backdoor op systemen opent. Dat laat antivirusbedrijf Trend Micro in een analyse weten. Xcode is een ontwikkelomgeving voor macOS waarmee ontwikkelaars Apple-gerelateerde software kunnen ontwikkelen.

Xcode-projecten bestaan uit verschillende bestanden. Onderzoekers van antivirusbedrijf Trend Micro ontdekten verschillende Xcode-projecten waar kwaadaardige code aan was toegevoegd. Bij het compileren van de projecten werd de malware waarschijnlijk uitgevoerd, aldus de onderzoekers. Getroffen ontwikkelaars deelden hun besmette Xcode-projecten via GitHub, waar ze weer door andere ontwikkelaars werden gedownload.

Eenmaal actief steelt de malware informatie van Evernote, Notes, Skype, Telegram, QQ en WeChat, maakt screenshots van het scherm en gebruikt een kwetsbaarheid in Safari om cookies te stelen. Daarnaast gebruikt de malware de ontwikkelversie van Safari om JavaScript-backdoors aan websites toe te voegen. Deze JavaScript-code kan bitcoin-adressen aanpassen, inloggegevens voor Apple, Google, PayPal en Yandex stelen, alsmede creditcardgegevens uit de Apple Store. Verder voorkomt de JavaScript-code dat de gebruiker zijn wachtwoorden wijzigt en worden er screenshots van bepaalde websites gemaakt.

De malware controleert ook of inloggen via SSH op het systeem staat ingeschakeld. Wanneer dit niet het geval is schakelt de malware dit in. De onderzoekers merken op dat hiervoor wel authenticatie door de gebruiker is vereist. Vervolgens probeert de malware een SSH-key te vinden of genereren en uploadt die naar een server, zodat de aanvaller op afstand via SSH en de SSH-key op de machine van de getroffen ontwikkelaar kan inloggen.

Wat ook opvalt is dat de malware een Safari-update downloadt en installeert en vervolgens een onbekende kwetsbaarheid gebruikt om toegang tot de door Safari opgeslagen cookies te krijgen. Daarnaast installeert de malware een ontwikkelversie van Safari, die in plaats van de al aanwezige Safari-versie wordt geladen. Het doel van de "nep-Safari" is het injecteren van JavaScript in websites. Zo is het mogelijk om websites te manipuleren, inloggegeven te stelen, screenshots te maken en bijvoorbeeld de downloadlink van Google Chrome aan te passen.

Verder probeert de malware andere Xcode-projecten op het systeem te infecteren. Hoe de malware initieel op de ontwikkelsystemen terechtkomt is op dit moment onbekend. De onderzoekers vonden in totaal twee besmette Xcode-projecten die door 380 ontwikkelaars waren gedownload. Het grootste deel daarvan is afkomstig uit China en India.

"Deze verspreidingsmethode kan alleen worden omschreven als slim. Getroffen ontwikkelaars zullen nietsvermoedend de malware in de vorm van gecompromitteerde Xcode-projecten onder hun gebruikers verspreiden, en methodes om het aangeboden bestand te verifiëren, zoals het controleren van de hashes, zullen niet helpen, aangezien de ontwikkelaars niet weten dat ze kwaadaardige bestanden verspreiden", aldus de onderzoekers van Trend Micro.