研究人员详细介绍了XCSSET，这是一种新发现的MacOS恶意软件，它通过Xcode项目传播；目前还不清楚XCSSET是如何感染Xcode项目的

Xcode项目被利用来传播一种形式的Mac恶意软件，专门危害Safari和其他浏览器。

趋势科技周四表示，在Xcode项目中发现了XCSSET恶意软件家族，这将导致恶意有效负载的兔子洞。

在一篇探讨这波攻击浪潮的论文(.PDF)中，网络安全研究人员表示，在一个开发人员的项目中，一种不同寻常的感染还包括发现了两个零日漏洞。

Xcode是MacOS中用于开发苹果相关软件和应用的免费集成开发环境(IDE)。

虽然目前还不清楚XCSSET是如何进入Xcode项目的，但趋势科技表示，一旦嵌入，恶意软件就会在项目构建时运行。

该团队指出，据推测，这些系统将主要由开发人员使用。这些Xcode项目已被修改，因此在构建时，这些项目将运行恶意代码。这最终会导致主要的XCSSET恶意软件被丢弃并在受影响的系统上运行。"；

许多受影响的开发者已经在GitHub上分享了他们的项目，研究人员说，这可能会导致供应链式的攻击，因为用户在自己的项目中依赖这些存储库作为依赖。

一旦进入易受攻击的系统，XCSSET就会侵入包括Safari开发版本在内的浏览器，利用漏洞窃取用户数据。

在Safari的案例中，两个错误中的第一个是Data Vault中的一个缺陷。已发现一种绕过方法，可绕过MacOS通过sshd对Safari cookie文件实施的保护。

第二个值得注意的漏洞是由于Safari WebKit的操作方式造成的。正常情况下，启动该工具包需要用户提交其密码，但发现了一个绕过该漏洞的途径，可用于通过非沙盒Safari浏览器执行恶意操作。似乎也有可能实施Dylib劫持。

安全问题允许读取和转储Safari cookie，然后这些数据包通过通用跨站点脚本(Universal Cross-Site Script，UXSS)攻击将基于JavaScript的后门注入显示的页面。

趋势科技认为，攻击链中的UXSS元素不仅可以用来窃取一般用户信息，还可以用来修改浏览器会话，以显示恶意网站，更改加密货币钱包地址，获取Apple Store信用卡信息，并从Apple ID、Google、Paypal和Yandex等来源窃取凭据。

该恶意软件还能够窃取各种其他用户数据，包括来自Skype、Telegram、QQ和微信应用程序的Evernote内容、Notes信息和通信。

此外，XCSSET可以截屏、渗漏数据并将被盗文件发送到指挥控制(C2)服务器，还包含一个用于文件加密和勒索请求消息的勒索软件模块。

目前只发现了两个含有恶意软件的Xcode项目，以及380个受害者IP-其中大部分位于中国和印度-但感染媒介仍然是一个重要因素。

趋势科技表示，所使用的分销方式只能用聪明来形容。受影响的开发人员会在不知不觉中以受损的Xcode项目的形式将恶意特洛伊木马程序分发给他们的用户，而验证分发的文件的方法(如检查散列)将无济于事，因为开发人员不会意识到他们正在分发恶意文件。"；

ZDNet已经联系了趋势科技和苹果公司，提出了更多的问题，并将在我们收到回复时更新。

有小费吗？通过WhatsApp|Signal+447713 025499或通过KeyBase：charlie0安全联系