安全研究人員透露,已經發現許多 Xcode 項目包含可以攻擊 Safari 和其他瀏覽器的惡意軟件,而 XCSSET 惡意軟件的發現卻通過未知的方式進入了 Mac 軟件項目。
Trend Micro 的研究人員發現了該公司所描述的“與 Xcode 開發人員項目有關的異常感染”,惡意軟件會將自身整合到項目本身中。該惡意軟件被發現具有多種有效載荷的可能性,儘管它對使用通過 Apple IDE 開發的軟件的最終用户構成了潛在的風險,但實際上對於開發人員而言,這似乎是一個更大的問題。
該惡意軟件是 XCSSET 家族的一部分,被發現包含可以啓用“命令和控制”目標系統的文件,即它將允許使用該惡意軟件的攻擊者控制受感染的 Mac。從而允許在受感染的系統上執行各種操作,包括獲取個人數據和執行涉及加密的勒索軟件式攻擊。
該團隊認為,該惡意軟件的不同尋常之處在於其分發方式,即“被注入到本地 Xcode 項目中,以便在構建項目時就可以運行惡意代碼”。目前尚不清楚此時如何將代碼注入到項目中。
對於依賴於他人協作的開發人員,Trend Micro 建議,通過 GitHub 和其他代碼存儲庫共享的項目時,威脅更為嚴重,因為這可能導致“依賴這些存儲庫的用户遭受類似於供應鏈的攻擊而作為自己項目中的依賴。”
安裝後,該惡意軟件能夠攻擊 Mac 上的 Safari 和其他瀏覽器,以獲取有用的用户數據。發現的零日漏洞包括繞過 macOS 系統完整性保護功能的 Data Vault 問題,以及在 Safari for WebKit Development 中創建的假冒 Safari 應用程序(而不是合法版本)運行的漏洞。
到目前為止,該惡意軟件僅在研究中的兩個 Xcode 項目中被發現,這些項目被認為未被其他開發人員廣泛使用,從而限制了不良的影響。