安全研究人員透露，已經(jīng)發(fā)現(xiàn)許多 Xcode 項(xiàng)目包含可以攻擊 Safari 和其他瀏覽器的惡意軟件，而 XCSSET 惡意軟件的發(fā)現(xiàn)卻通過未知的方式進(jìn)入了 Mac 軟件項(xiàng)目。

Trend Micro 的研究人員發(fā)現(xiàn)了該公司所描述的 “與 Xcode 開發(fā)人員項(xiàng)目有關(guān)的異常感染”，惡意軟件會(huì)將自身整合到項(xiàng)目本身中。該惡意軟件被發(fā)現(xiàn)具有多種有效載荷的可能性，盡管它對(duì)使用通過 Apple IDE 開發(fā)的軟件的最終用戶構(gòu)成了潛在的風(fēng)險(xiǎn)，但實(shí)際上對(duì)于開發(fā)人員而言，這似乎是一個(gè)更大的問題。

該惡意軟件是 XCSSET 家族的一部分，被發(fā)現(xiàn)包含可以啟用 “命令和控制”目標(biāo)系統(tǒng)的文件，即它將允許使用該惡意軟件的攻擊者控制受感染的 Mac。從而允許在受感染的系統(tǒng)上執(zhí)行各種操作，包括獲取個(gè)人數(shù)據(jù)和執(zhí)行涉及加密的勒索軟件式攻擊。

該團(tuán)隊(duì)認(rèn)為，該惡意軟件的不同尋常之處在于其分發(fā)方式，即 “被注入到本地 Xcode 項(xiàng)目中，以便在構(gòu)建項(xiàng)目時(shí)就可以運(yùn)行惡意代碼”。目前尚不清楚此時(shí)如何將代碼注入到項(xiàng)目中。

對(duì)于依賴于他人協(xié)作的開發(fā)人員，Trend Micro 建議，通過 GitHub 和其他代碼存儲(chǔ)庫共享的項(xiàng)目時(shí)，威脅更為嚴(yán)重，因?yàn)檫@可能導(dǎo)致 “依賴這些存儲(chǔ)庫的用戶遭受類似于供應(yīng)鏈的攻擊而作為自己項(xiàng)目中的依賴。”

安裝后，該惡意軟件能夠攻擊 Mac 上的 Safari 和其他瀏覽器，以獲取有用的用戶數(shù)據(jù)。發(fā)現(xiàn)的零日漏洞包括繞過 macOS 系統(tǒng)完整性保護(hù)功能的 Data Vault 問題，以及在 Safari for WebKit Development 中創(chuàng)建的假冒 Safari 應(yīng)用程序(而不是合法版本)運(yùn)行的漏洞。

到目前為止，該惡意軟件僅在研究中的兩個(gè) Xcode 項(xiàng)目中被發(fā)現(xiàn)，這些項(xiàng)目被認(rèn)為未被其他開發(fā)人員廣泛使用，從而限制了不良的影響。

關(guān)鍵詞：