Xcsset Mac恶意软件：感染Xcode项目，对Safari执行UXSS攻击

我们发现了一种与Xcode Developer项目相关的不同寻常的感染。经过进一步调查，我们发现一个开发人员的Xcode项目普遍包含源代码恶意软件，这导致了恶意负载的兔子洞。在我们的调查中，最值得注意的是发现了两个零日漏洞：一个被用来通过Data Vault的行为缺陷窃取cookie，另一个被用来滥用Safari的开发版本。

这种情况非常不寻常；在这种情况下，恶意代码被注入到本地Xcode项目中，以便在构建项目时运行恶意代码。这尤其给Xcode开发人员带来了风险。由于我们发现了在GitHub上共享项目的受影响开发人员，导致依赖这些存储库的用户在自己的项目中依赖这些存储库，从而导致供应链式的攻击，因此威胁不断升级。我们还在VirusTotal等来源中发现了此威胁，这表明此威胁正在蔓延。

本博客将总结此威胁的发现，同时其附带的技术简介包含此攻击的全部细节。我们以TrojanSpy.MacOS.XCSSET.A及其与命令和控制(C&；C)相关的文件BackDoor.MacOS.XCSSET.A检测到进入威胁。

该威胁主要通过Xcode项目和恶意软件创建的恶意修改的应用程序传播。目前还不清楚威胁最初是如何进入这些系统的。据推测，这些系统将主要由开发人员使用。这些Xcode项目已被修改，因此在构建时，这些项目将运行恶意代码。这最终会导致主要的XCSSET恶意软件被丢弃并在受影响的系统上运行。受感染的用户还容易受到其凭据、帐户和其他重要数据被盗的影响。

它利用漏洞，滥用现有的Safari和其他安装的浏览器来窃取用户数据。特别是，它使用Safari开发版本通过通用跨站点脚本(UXSS)攻击将JavaScript后门注入网站。

它从用户的Evernote、Notes、Skype、Telegram、QQ和微信应用程序中窃取信息。

从理论上讲，UXSS攻击能够将用户浏览器体验的几乎每个部分修改为任意JavaScript注入的代码。这些修改包括：

使用的分发方法只能用聪明来形容。受影响的开发人员会在不知不觉中以受损的Xcode项目的形式将恶意特洛伊木马程序分发给他们的用户，而验证分发的文件(如检查散列)的方法也无济于事，因为开发人员不会意识到他们正在分发恶意文件。