Было обнаружено, что ряд проектов Xcode содержит вредоносные программы, которые могут атаковать Safari и другие браузеры, как выяснили исследователи в области безопасности, с обнаружением вредоносного ПО XCSSET, проникшего в программные проекты Mac в значительной степени неизвестными способами.
Исследователи Trend Micro обнаружили то, что компания описывает как «необычную инфекцию, связанную с проектами разработчиков Xcode», когда вредоносное ПО может встраиваться в сам проект. Было обнаружено, что вредоносное ПО имеет несколько возможностей полезной нагрузки, и хотя оно представляет потенциальный риск для конечных пользователей, использующих программное обеспечение, разработанное с помощью Apple IDE, на самом деле это кажется более серьезной проблемой для самих разработчиков.
Было обнаружено, что вредоносная программа, которая является частью семейства XCSSET, включает файлы, которые предполагают, что она позволит «управлять и контролировать» целевую систему, а именно позволяет злоумышленнику, использующему вредоносное ПО, получить контроль над зараженным Mac. Это может позволить выполнять самые разные действия в зараженных системах, включая получение личных данных и выполнение атак в стиле программ-вымогателей с использованием шифрования.
Команда предполагает, что необычная природа вредоносного ПО объясняется тем, как оно распространяется, а именно тем, что оно «внедряется в локальные проекты Xcode, так что при создании проекта запускается вредоносный код». Неясно, как именно код внедряется в проект в настоящее время.
Для разработчиков, которые полагаются на сотрудничество с другими, Trend Micro предполагает, что угроза усугубляется, если принять во внимание проекты, совместно используемые через GitHub и другие репозитории кода, поскольку это может привести к «атаке по типу цепочки поставок для пользователей, которые полагаются на эти репозитории. как зависимости в их собственных проектах «.
После установки вредоносная программа может атаковать Safari и другие браузеры на Mac для получения полезных пользовательских данных. Обнаруженные уязвимости нулевого дня включают проблему с Data Vault, которая обходит функцию защиты целостности системы macOS, а также в Safari для разработки WebKit, которая создает поддельное приложение Safari, которое запускается вместо законной версии.
Пока что вредоносное ПО было обнаружено только в двух проектах Xcode в исследованиях, при этом считается, что проекты не будут широко использоваться другими разработчиками, что серьезно ограничивает воздействие. Авторы вредоносных программ составили список из 380 IP-адресов жертв, при этом подавляющая часть заражений приходится на компьютеры Mac в Китае и Индии.
Trend Micro рекомендует владельцам проектов «продолжать тройную проверку целостности своих проектов, чтобы определенно пресекать неоправданные проблемы, такие как заражение вредоносным ПО в будущем».
