Các nhà nghiên cứu bảo mật cho biết một số dự án Xcode bị phát hiện có chứa malware có thể tấn công Safari và các trình duyệt khác.
Theo đó, họ đã khám phá ra malware XCSSET xâm nhập vào các dự án phần mềm Mac thông qua các phương tiện phần lớn chưa được biết đến. Các nhà nghiên cứu tại Trend Micro đã mô tả đây là “sự lây nhiễm bất thường liên quan đến các dự án của nhà phát triển Xcode”, nơi phần mềm độc hại sẽ tự kết hợp vào dự án. Phần mềm độc hại được phát hiện có nhiều đoạn mã độc, và dù gây ra rủi ro cho người dùng sử dụng phần mềm được phát triển thông qua IDE của Apple, nó có vẻ là một vấn đề lớn với chính các nhà phát triển.
Mã độc này là một phần của họ malware XCSSET, được phát hiện kết hợp các tập tin và cho phép “ra lệnh và kiểm soát” hệ thống mục tiêu, giúp kẻ tấn công sử dụng phần mềm độc hại kiểm soát máy tính Mac bị nhiễm, bao gồm cả việc lấy dữ liệu cá nhân và thực hiện một cuộc tấn công kiểu ransomware liên quan đến mã hóa.
Nhóm nghiên cứu cho thấy bản chất bất thường của malware là từ cách nó được phân phối, cụ thể là được “đưa vào các dự án Xcode cục bộ để khi dự án được xây dựng, mã độc sẽ được chạy.” Không rõ mã độc được đưa vào dự án tại thời điểm nào.
Đối với các nhà phát triển dựa vào việc cộng tác với những người khác, Trend Micro cho rằng mối đe dọa còn tồi tệ hơn khi tính đến các dự án được chia sẻ qua GitHub và các kho lưu trữ mã khác, vì điều này có thể dẫn đến “một cuộc tấn công giống như chuỗi cung ứng đối với những người dùng dựa vào các kho này như là một phần trong các dự án của riêng họ.”
Sau khi được cài đặt, malware này có thể tấn công Safari và các trình duyệt khác trên máy tính Mac để lấy dữ liệu quan trọng của nạn nhân. Các lỗ hổng Zero-day được phát hiện bao gồm lỗi Data Vault bỏ qua tính năng Bảo vệ toàn vẹn hệ thống của macOS (System Integrity Protection), cũng như trong bộ phát triển WebKit trên Safari giúp tạo ra ứng dụng Safari giả mạo thay cho bản hợp pháp.
Cho đến nay, malware mới được tìm thấy trong hai dự án Xcode đang được nghiên cứu, với các dự án được cho là không được các nhà phát triển khác sử dụng rộng rãi, điều này đã phần nào hạn chế tác hại nghiêm trọng. Một danh sách gồm 380 địa chỉ IP của nạn nhân đã được các tác giả malware thu thập, với phần lớn các vụ lây nhiễm trên các máy tính Mac ở Trung Quốc và Ấn Độ.
Trend Micro cho rằng chủ sở hữu dự án “tiếp tục kiểm tra 3 lần tính toàn vẹn trong dự án của họ để chắc chắn khắc phục các sự cố không đáng có như nhiễm phần mềm độc hại trong tương lai.”