29/09/25
Семейство известно с 2020 года и распространяется через проекты Xcode, внедряя в них вредоносный код. Теперь авторы добавили новые приёмы, чтобы усложнить обнаружение и расширить возможности кражи данных. Об этом пишет Securitylab.
Цепочка осталась четырёхступенчатой, но последний этап был переработан. Среди наиболее заметных новшеств — модуль, ориентированный на Firefox. Для сбора данных используется модифицированная версия открытого инструмента HackBrowserData. Появился и новый компонент, контролирующий буфер обмена: если пользователь копирует адрес криптовалютного кошелька, вредонос заменяет его на реквизиты злоумышленников.
Для закрепления в системе программа создаёт LaunchDaemon, запускающий скрытый файл под именем .root. Дополнительно она размещает фиктивное приложение System Settings.app в каталоге /tmp, маскируя свою активность. Чтобы усложнить анализ, в код внедрены скомпилированные AppleScript с параметром run-only, а для повышения выживаемости отключаются автоматические обновления macOS и Rapid Security Responses. Таким образом авторы стараются оставаться незамеченными максимально долго и одновременно повышают шансы на монетизацию атаки.
Для разработчиков вектор угрозы остаётся прежним: заражённый проект Xcode активирует вредонос при сборке, и программист сам запускает закладку вместе с кодом. Исследователи ещё в феврале предупреждали, что поддельные репозитории и общедоступные проекты уже используются как каналы распространения. Последняя версия делает внедрение ещё более незаметным, применяя дополнительные приёмы в настройках проекта.
Microsoft отмечает, что зафиксированные атаки пока ограничены, но само упорство XCSSET показывает: экосистема Apple для разработчиков остаётся привлекательной целью. Отчёт с техническими деталями передан в Apple, а совместно с GitHub компания удалила репозитории, в которых обнаружены заражённые проекты.
Redmond также советует разработчикам внимательно проверять проекты перед сборкой, обновлять macOS и применять защитные решения, способные отслеживать подозрительные демоны и изменения property list.
