我们发现了一种与Xcode Developer项目相关的不同寻常的感染。经过进一步调查,我们发现一个开发人员的Xcode项目普遍包含源代码恶意软件,这导致了恶意负载的兔子洞。在我们的调查中,最值得注意的是发现了两个零日漏洞:一个被用来通过Data Vault的行为缺陷窃取cookie,另一个被用来滥用Safari的开发版本。
这种情况非常不寻常;在这种情况下,恶意代码被注入到本地Xcode项目中,以便在构建项目时运行恶意代码。这尤其给Xcode开发人员带来了风险。由于我们发现了在GitHub上共享项目的受影响开发人员,导致依赖这些存储库的用户在自己的项目中依赖这些存储库,从而导致供应链式的攻击,因此威胁不断升级。我们还在VirusTotal等来源中发现了此威胁,这表明此威胁正在蔓延。
本博客将总结此威胁的发现,同时其附带的技术简介包含此攻击的全部细节。我们以TrojanSpy.MacOS.XCSSET.A及其与命令和控制(C&;C)相关的文件BackDoor.MacOS.XCSSET.A检测到进入威胁。
该威胁主要通过Xcode项目和恶意软件创建的恶意修改的应用程序传播。目前还不清楚威胁最初是如何进入这些系统的。据推测,这些系统将主要由开发人员使用。这些Xcode项目已被修改,因此在构建时,这些项目将运行恶意代码。这最终会导致主要的XCSSET恶意软件被丢弃并在受影响的系统上运行。受感染的用户还容易受到其凭据、帐户和其他重要数据被盗的影响。
它利用漏洞,滥用现有的Safari和其他安装的浏览器来窃取用户数据。特别是,它使用Safari开发版本通过通用跨站点脚本(UXSS)攻击将JavaScript后门注入网站。
它从用户的Evernote、Notes、Skype、Telegram、QQ和微信应用程序中窃取信息。
从理论上讲,UXSS攻击能够将用户浏览器体验的几乎每个部分修改为任意JavaScript注入的代码。这些修改包括:
使用的分发方法只能用聪明来形容。受影响的开发人员会在不知不觉中以受损的Xcode项目的形式将恶意特洛伊木马程序分发给他们的用户,而验证分发的文件(如检查散列)的方法也无济于事,因为开发人员不会意识到他们正在分发恶意文件。