安全人員發現 Mac 應用被植入 XCSSET 惡意程式，或將躲過安全偵測滲透 App Store

.lucy_ad_red_frame_view{border-style:solid;border-color:red;border-width:1px;}

上週，趨勢科技的安全研究人員發現了一種嚴重的新型 macOS 惡意程式，利用零日漏洞針對與 Xcode 相關的開發項目進行異常感染，現在安全人員更進一步揭露了關於這個新型惡意軟體的更多相關細節，甚至可能躲過 Apple 審核小組的偵測而滲透進 Mac 的 App Store 中，影響不容輕忽。

這個新型的惡意程式是 XCSSET 的家族成員之一，之所以與眾不同乃是在於它以植入 Xcode 的方式，在開發人員建構項目階段就已經開始運作惡意程式碼，就像藏在花園土壤中無所不在的地鼠一樣。這一發現給 Xcode 開發人員帶來了巨大的風險，安全研究人員檢查受惡意程式影響的開發者，這些開發者透過 GitHub 共享自己的項目，從而讓其他依靠自己的項目存取的用戶也成為潛在供應鏈攻擊的對象之一。

該惡意程式經由受感染的 Xcode 項目傳播，因為它可以創建經過惡意修改的應用程式，然後將特洛伊木馬散布出去。具體來說，它能夠濫用 Safari 和其他瀏覽器來竊取資料，利用漏洞來讀取和轉存 Cookie，使用 Javascript 在系統中建立後門，然後修改顯示的網站、竊取私人銀行資訊、阻止更改密碼以及偷取剛修改的新密碼。另外，安全人員還發現這支惡意程式能夠從 Evernote、Notes、Skype、Telegram、QQ 和 WeChat 等應用程式中盜取訊息、截圖，將文件上傳到攻擊者的指定伺服器，或是把文件加密鎖定並顯示贖金記錄等。該惡意程式特別危險的原因在於以目前常用的驗證方法（例如檢查 Hash）也無法識別感染，而開發者更不會意識到自己正在散播惡意程式。

安全研究人員 Oleksandr Shatkivskyi和Vlad Felenuik 進一步研究後，認為 macOS 的 App Store 審核小組將在很有可能無法偵測到內含 XCSSET 惡意程式碼的應用程式。由於安全研究人員沒有權限在附帶 Apple Silicon 的 Mac Developer 工具進行測試，但他們認為該惡意程式將會在搭載 Apple Silicon 的 Mac設備上運作。儘管 XCSSET 惡意程式的嚴重性甚鉅，他們仍然認為 macOS 是安全的操作系統，並且對打擊惡意程式的未來表示樂觀。