Некролог: macOS-разработчики (1980-2025), причина смерти — вредонос XCSSET 2.0

XCSSET macOS Microsoft вредонос разработка Xcode
Некролог: macOS-разработчики (1980-2025), причина смерти — вредонос XCSSET 2.0
XCSSET macOS Microsoft вредонос разработка Xcode

Одна подмена в репозитории = входная дверь для опасного трояна.

image

Исследователи Microsoft зафиксировали новую версию XCSSET — вредоносной программы, которая уже несколько лет нацелена на разработчиков под macOS. Семейство известно с 2020 года и распространяется через проекты Xcode, внедряя в них вредоносный код. Теперь авторы добавили новые приёмы, чтобы усложнить обнаружение и расширить возможности кражи данных.

Инфекционная цепочка осталась четырёхступенчатой, но финальный этап был переработан. Среди наиболее заметных новшеств — модуль, ориентированный на Firefox. Для сбора данных используется модифицированная версия открытого инструмента HackBrowserData. Появился и новый компонент, контролирующий буфер обмена: если пользователь копирует адрес криптовалютного кошелька, вредонос заменяет его на реквизиты злоумышленников.

Для закрепления в системе программа создаёт LaunchDaemon, запускающий скрытый файл под именем .root. Дополнительно она размещает фиктивное приложение System Settings.app в каталоге /tmp, маскируя свою активность. Чтобы усложнить анализ, в код внедрены скомпилированные AppleScript с параметром run-only, а для повышения выживаемости отключаются автоматические обновления macOS и Rapid Security Responses. Таким образом авторы стараются оставаться незамеченными максимально долго и одновременно повышают шансы на монетизацию атаки.

Для разработчиков вектор угрозы остаётся прежним: заражённый проект Xcode активирует вредонос при сборке, и программист сам запускает закладку вместе с кодом. Исследователи ещё в феврале предупреждали, что поддельные репозитории и общедоступные проекты уже используются как каналы распространения. Последняя версия делает внедрение ещё более незаметным, применяя дополнительные приёмы в настройках проекта.

Microsoft отмечает, что зафиксированные атаки пока ограничены, но само упорство XCSSET показывает: экосистема Apple для разработчиков остаётся привлекательной целью. Отчёт с техническими деталями передан в Apple, а совместно с GitHub компания удалила репозитории, в которых обнаружены заражённые проекты.

Redmond также советует разработчикам внимательно проверять проекты перед сборкой, обновлять macOS и применять защитные решения, способные отслеживать подозрительные демоны и изменения property list.

Хотя XCSSET не так известен, как, например, LockBit, его жизнеспособность впечатляет. Для любого, кто работает с Xcode, вывод остаётся очевидным: доверять проекту по умолчанию нельзя — следующая сборка может содержать не только ваш код, но и неприятный сюрприз.