Mac 恶意软件通过 Xcode 项目传播 滥用 WebKit、Data Vault 漏洞

趋势科技本周四报告称，在多个 Xcode 项目中发现了 XCSSET 恶意软件系列，发现了导致恶意有效荷载的兔子洞（rabbit hole）。在探索讨论攻击行为的报告[PDF]中，网络安全研究人员表示在其中一个开发者项目中“不寻常”感染还发现了两个零日漏洞。

Xcode 是 macOS 系统中用于开发苹果相关软件和应用的免费集成开发环境（IDE）。虽然目前还不清楚 XCSSET 是如何感染到 Xcode 项目中的，可一旦被嵌入，恶意软件就会在项目构建时运行。

该团队表示：“根据推测，这些系统主要由开发人员使用。这些 Xcode 项目已经被修改，在构建时，这些项目将运行一个恶意代码。这最终会导致主要的XCSSET恶意软件被丢弃并在受影响的系统上运行”。

一些受影响的开发者已经在 GitHub 上分享了他们的项目，研究人员表示针对 Mac 用户的一项运动正在推广 XCSSET恶意软件套件，它能够劫持Safari网络浏览器，并注入各种 JavaScript 有效负载，这些负载可以窃取密码、金融数据和个人信息，部署赎金等。

隐藏在项目中的初始有效载荷以Mach-O可执行文件的形式出现。研究人员能够追踪受感染项目的Xcode工作数据文件，并发现一个隐藏文件夹中包含Mach-O，位于其中一个.xcodeproj文件中。