网络安全公司SentinelOne的研究人员发现了一个特洛伊木马代码库，该代码库被广泛用于尝试在为iOS创建应用程序的开发人员的Mac上安装监控恶意软件。据Ars Technica称，该活动利用了苹果的iOS和macOS Xcode开发工具，负责任的攻击者利用这些工具创建了一个恶意项目来传播恶意软件。然而，该项目本身是一个合法的开源项目TabBarInteraction的副本，它可以帮助开发人员在iOS中制作选项卡栏的动画。

TabBarInteraction的假版本还包括一个名为“运行脚本”的模糊脚本，每当开发人员构建和启动时都会执行该脚本。该脚本联系攻击者控制的服务器，下载并安装开源后门蛋壳的定制版本，用于通过用户的麦克风、摄像头和键盘监控用户。

SentinelLabs的研究人员将这个特洛伊木马项目命名为XcodeSpy，因为它利用了苹果的Xcode，使得攻击者可以监控其他Mac用户。

截至目前，已发现木马项目丢弃的定制蛋壳后门的两个变种，并上传到VirusTotal进行进一步调查。第一个样本是去年8月上传的，第二个样本是10月上传的。

在SentinelOne威胁研究人员的新博客中，详细介绍了该公司的发现。菲尔斯托克斯解释说，那里可能还有其他XcodeSpy项目。他说：

“到目前为止，我们找不到木马Xcode项目的其他例子，也无法衡量这种活动的程度。”然而，已知样本的时间表和下面提到的其他指标表明，可能还有其他XcodeSpy项目。通过分享这项活动的细节，我们希望提高我们对这种攻击媒介的认识，并强调开发人员是攻击者的高价值目标这一事实。"

为了避免成为XcodeSpy的受害者，开发人员在下载和安装新的开源项目时应该格外小心。