微软警告新型XCSSET macOS恶意软件变种瞄准Xcode开发者

微软威胁情报报告称，在有限攻击中发现新型XCSSET macOS恶意软件变种，该变种包含多项新功能，包括增强的浏览器目标攻击、剪贴板劫持和改进的持久化机制。

XCSSET是一种模块化macOS恶意软件，充当信息窃取器和加密货币窃取器，从受感染设备窃取笔记、加密货币钱包和浏览器数据。该恶意软件通过搜索并感染设备上其他Xcode项目进行传播，使得项目构建时恶意软件被执行。

“XCSSET恶意软件旨在感染通常被软件开发人员使用的Xcode项目，并在Xcode项目构建时运行，“微软解释道。“我们评估这种感染和传播模式依赖于在构建苹果或macOS相关应用程序的开发者之间共享项目文件。”

在微软观察到的新变种中，研究人员注意到若干变化。它现在尝试通过安装修改版开源HackBrowserData工具来窃取Firefox浏览器数据，该工具用于从浏览器数据存储中解密和导出浏览器数据。

新变种还包含剪贴板劫持组件更新，可监控macOS剪贴板中与加密货币地址相关的正则表达式模式。当检测到加密货币地址时，它会将地址替换为属于攻击者的地址。这导致用户在受感染设备上发送的任何加密货币都会被发送给攻击者。

该恶意软件还包含新的持久化方法，例如创建执行~/.root有效负载的LaunchDaemon条目，并在/tmp中创建伪造的System Settings.app以伪装其活动。

新变种尚未广泛传播，微软报告仅观察到有限攻击。研究人员已与苹果分享发现，并正与GitHub合作移除相关代码库。

为防范此类恶意软件，建议保持macOS和应用程序更新，特别是考虑到XCSSET先前曾利用包括零日漏洞在内的安全漏洞。微软还建议开发人员在构建Xcode项目前始终进行检查，特别是当项目由他人共享时。