安全研究人员透露,已经发现许多 Xcode 项目包含可以攻击 Safari 和其他浏览器的恶意软件,而 XCSSET 恶意软件的发现却通过未知的方式进入了 Mac 软件项目。
Trend Micro 的研究人员发现了该公司所描述的 “与 Xcode 开发人员项目有关的异常感染”,恶意软件会将自身整合到项目本身中。该恶意软件被发现具有多种有效载荷的可能性,尽管它对使用通过 Apple IDE 开发的软件的最终用户构成了潜在的风险,但实际上对于开发人员而言,这似乎是一个更大的问题。
该恶意软件是 XCSSET 家族的一部分,被发现包含可以启用 “命令和控制”目标系统的文件,即它将允许使用该恶意软件的攻击者控制受感染的 Mac。从而允许在受感染的系统上执行各种操作,包括获取个人数据和执行涉及加密的勒索软件式攻击。
该团队认为,该恶意软件的不同寻常之处在于其分发方式,即 “被注入到本地 Xcode 项目中,以便在构建项目时就可以运行恶意代码”。目前尚不清楚此时如何将代码注入到项目中。
对于依赖于他人协作的开发人员,Trend Micro 建议,通过 GitHub 和其他代码存储库共享的项目时,威胁更为严重,因为这可能导致 “依赖这些存储库的用户遭受类似于供应链的攻击而作为自己项目中的依赖。”
安装后,该恶意软件能够攻击 Mac 上的 Safari 和其他浏览器,以获取有用的用户数据。发现的零日漏洞包括绕过 macOS 系统完整性保护功能的 Data Vault 问题,以及在 Safari for WebKit Development 中创建的假冒 Safari 应用程序(而不是合法版本)运行的漏洞。
到目前为止,该恶意软件仅在研究中的两个 Xcode 项目中被发现,这些项目被认为未被其他开发人员广泛使用,从而限制了不良的影响。