微软警告新型XCSSET macOS恶意软件变种针对Xcode开发者
作者:Lawrence Abrams
2025年9月25日 18:49
微软威胁情报报告称,在有限攻击中发现新型XCSSET macOS恶意软件变种,该变种新增多项功能,包括增强的浏览器目标攻击、剪贴板劫持和改进的持久化机制。
XCSSET是一种模块化macOS恶意软件,充当信息窃取器和加密货币窃取器,从受感染设备窃取Notes、加密货币钱包和浏览器数据。该恶意软件通过搜索并感染设备上其他Xcode项目进行传播,使得项目构建时恶意软件被执行。
微软解释道:“XCSSET恶意软件旨在感染通常由软件开发人员使用的Xcode项目,并在Xcode项目构建时运行。”
“我们评估认为,这种感染和传播模式依赖于在构建苹果或macOS相关应用程序的开发者之间共享项目文件。”
在微软观察到的新变种中,研究人员注意到若干变化:
- 现尝试通过安装修改版开源工具HackBrowserData窃取Firefox浏览器数据,该工具用于从浏览器数据存储中解密和导出浏览器数据。
- 新变种还包含剪贴板劫持组件更新,可监控macOS剪贴板中与加密货币地址相关的正则表达式模式。检测到加密地址时,会将其替换为攻击者控制的地址,导致用户从受感染设备发送的任何加密货币被转给攻击者。
该恶意软件还包含新的持久化方法,例如创建执行~/.root有效负载的LaunchDaemon条目,并在/tmp中创建伪造的System Settings.app以伪装其活动。
新变种尚未广泛传播,微软报告仅观察到有限攻击。研究人员已与苹果共享发现,并正与GitHub合作移除相关代码库。
为防范此类恶意软件,建议保持macOS和应用程序更新,尤其是考虑到XCSSET曾利用包括零日漏洞在内的安全漏洞。微软还建议开发者在构建Xcode项目前始终进行检查,特别是当项目由他人共享时。
相关文章:
- New FileFix攻击使用隐写术投放StealC恶意软件
- 通过欺诈性PDF编辑器传播的TamperedChef信息窃取器
- 虚假Mac修复程序诱使用户安装新型Shamos信息窃取器
- SonicWall发布SMA100固件更新以清除rootkit恶意软件
- NPM包被曝使用QR码获取窃取cookie的恶意软件
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码