微软发现XCSSET恶意软件新变种隐藏在苹果开发项目中

长期活跃的XCSSET恶意软件再次进化，微软警告称新的macOS变种在继续针对开发者的同时扩展了攻击手段。

微软威胁研究人员表示，这个至少从2020年开始传播的XCSSET最新版本，继续通过附着在Xcode项目上进行传播，但现在具备了新的能力，进一步加剧受害者的困扰。Xcode是用于在苹果设备上构建应用程序的开发者工具套件。

这并非该恶意软件首次重新出现。早在今年2月，微软就警告过该恶意软件已经使用受感染的开发者项目来投放恶意载荷。现在其背后的团伙似乎走得更远，构建了更隐蔽的持久化机制、更多混淆层，并且对加密货币盗窃表现出越来越大的兴趣。

感染链与新技术特征

感染链看起来熟悉——分为四个阶段，最终执行各种子模块——但最终阶段已被重新设计。比较显著的变化包括：

• Firefox目标模块：通过改进版开源HackBrowserData工具窃取信息
• 剪贴板劫持器：监控复制的文本，并将加密货币钱包地址替换为攻击者的地址
• 持久化机制：安装LaunchDaemon执行名为.root的隐藏载荷
• 隐蔽技术：在/tmp目录下放置伪造的System Settings.app文件以隐藏活动

防御规避技术

恶意软件作者还增加了更多混淆层，包括使用仅运行编译的AppleScripts，并试图通过禁用macOS自动更新和快速安全响应来削弱苹果的防御能力。微软表示这些调整表明操作者意图尽可能长时间地保持不被发现，同时扩大其获利机会。

开发者威胁向量

对于开发者来说，威胁向量保持不变：恶意软件潜入Xcode项目，因此当开发者构建代码时，他们会在不知情的情况下执行恶意载荷。今年2月，研究人员警告称受感染的代码库和共享项目已经成为传播载体。这个最新版本通过在项目设置中使用各种策略来逃避检测，使得嵌入更加容易。

防护建议

微软敦促开发者在运行构建前仔细检查项目，保持macOS系统补丁更新，并使用能够检测可疑守护进程和属性列表修改的端点安全工具。

虽然XCSSET可能没有LockBit或其他勒索软件团伙那样的知名度，但其韧性令人惊讶。对于任何在Xcode中工作的人来说，结论很明确：不要假设项目是安全的——你运行的下一个构建可能做的远比你预期的要多。