Hopp til hovedinnhold
person wearing gold analog watch using black laptop computer

Foto: Clémence Taillez / Unsplash

Nye Mac-trusler jakter utviklernøkler: slik bør du rigge deg

Sasan KamaliSasan Kamali2 min lesetid

Hva skjedde

AppleInsider omtaler funn fra Mosyle sitt sikkerhetsteam: to tidligere ukjente macOS-trusler kalt «Phoenix Worm» og «ShadeStager». Ifølge omtalen er de laget for å hente utvikler-credentials og cloud-tilgang, med fokus på vedvarende tilgang og å unngå raske, synlige angrep. Ved oppdagelsestidspunktet skal truslene ha hatt liten eller ingen deteksjon i antivirus-motorer, noe AppleInsider påpeker ofte er normalt for ny malware før signaturer oppdateres.

Hva det betyr

Dette er en type risiko som treffer ekstra hardt hvis du er utvikler, jobber med CI/CD, signering eller har nøkler/tilganger på maskinen. I stedet for å «ødelegge filer» med en gang, kan slike trusler sikte på å bli værende og hente ut legitime nøkler som gir angripere adgang til kontoer, byggsystemer og skylagring. For Apple-økosystemet er utviklernøkler og signering selve grunnmuren i tillitskjeden – hvis de kompromitteres, kan skadeomfanget bli større enn én enkelt Mac.

Min vurdering

Mac-sikkerhet har i årevis vært preget av to ytterpunkter: «Mac får ikke virus» (feil) og «du må ha tung antivirus» (ofte overkill). Det som faktisk blir mer og mer sant, er at identitet er angrepsflaten. Utviklernøkler, tokens og sky-API-nøkler er «hovednøkler» – og de er ofte mye enklere å misbruke enn å forsøke å bryte seg inn via klassiske sårbarheter.

For norske utviklere og små selskaper er dette en særlig ubehagelig kategori angrep, fordi vi ofte er få folk med brede rettigheter. En laptop er både utviklingsmaskin og admin-konsoll. Da er det ikke nok å «ha FileVault»; du må tenke på hvor nøkler ligger, hvordan de roteres, og hva som skjer om én maskin blir kompromittert.

Kilden vi har her (AppleInsider) gir ikke konkrete IOC-er (indikatorer), spredningsveier eller hvilke utviklerplattformer som er mål. Derfor kan vi ikke gi ‘sjekk denne filen’-råd. Men vi kan – og bør – bruke dette som en påminnelse om grunnleggende key hygiene: minst mulig på maskinen, mest mulig i sikre lagre, og så lite varig tilgang som mulig.

MacBook Pro som viser Xcode med kode, kildekontroll og kontoinnstillinger for utviklere Bilde: Apple

Hva du bør gjøre

  • Utviklere: antak at maskinen din kan bli angrepet via credentials, ikke bare via «virus».
  • Roter kritiske tokens jevnlig – spesielt de som gir sky- eller repo-tilgang.
  • Stram inn rettigheter i CI/CD og på skykontoer (minst mulig tilgang).
  • Aktiver tofaktor overalt og bruk passordhvelv i stedet for «notater»/filer.
  • Følg med på mer tekniske detaljer fra Mosyle/andre når de publiseres (IOC-er, spredning).

Kilder

Relaterte artikler