Já sabemos que a descoberta de malwares para macOS atingiu um pico deveras vertiginoso em 2020 e que, em 2021, as ameaças continuam surgindo. Uma das mais recentes, descoberta pelo SentinelLabs, tem uma particularidade: ela visa desenvolvedores que trabalham na plataforma da Maçã.
A equipe de pesquisadores descobriu o malware, batizado de XcodeSpy, num projeto infectado do Xcode (o ambiente de desenvolvimento para o ecossistema da Maçã). A ameaça é baseada na backdoor EggShell, já detalhada anteriormente, e consiste num cavalo de Troia (ou Trojan) que se passa por um projeto legítimo e de código aberto do Xcode.
O projeto finge trazer ferramentas e recursos que permitirão aos desenvolvedores criar barras de menus no iOS que são automaticamente animadas de acordo com a interação dos usuários. Os detalhes técnicos do malware podem ser lidos no artigo do SentinelLabs, mas basicamente a ameaça se instala no computador da vítima com o recurso “Run Script” do Xcode; uma vez feita a infecção, o invasor pode gravar informações do teclado, do microfone e da câmera da vítima.
O mais preocupante é que, segundo os pesquisadores, a ameaça já foi utilizada no mundo real: os cientistas descobriram duas variantes do malware e encontraram, inclusive, um caso de infecção dentro de uma grande empresa dos Estados Unidos. Eles acreditam que a campanha de disseminação do malware tenha ocorrido entre julho e outubro do ano passado, mas é possível que ainda haja pacotes infectados sendo distribuídos.
Na seção “Detection and Migration” do artigo do SentinelLabs, os pesquisadores detalham os procedimentos a serem realizados por desenvolvedores para descobrir se suas máquinas foram infectadas e, caso positivo, expurgar a ameaça o quanto antes. Fiquem espertos, portanto.