MacOS tehdit manzarası, XCSSET kötü amaçlı uygulama geliştiricilerinin yeni bir varyantının keşfedilmesiyle önemli bir artışa tanık oldu.
İlk olarak Eylül 2025’in sonlarında gözlemlenen bu varyant, gelişmiş gizli teknikler, genişletilmiş eksfiltrasyon yetenekleri ve sağlam kalıcılık mekanizmaları sunarak önceki sürümlere dayanmaktadır.
Saldırganlar, birincil enfeksiyon vektörü olarak enfekte Xcode projelerini (macOS ve iOS geliştirmenin temel taşı) kullanmaya devam ediyor.
Tained proje depolarını klonlayan veya indiren geliştiriciler, bir Xcode yapısı her başlatıldığında ortaya çıkan çok aşamalı bir enfeksiyon zincirini yanlışlıkla tetikler.
Microsoft analistleri, bu varyantın Xcode yapı işlemlerinin rutin telemetri analizi sırasında tanımlandığını, kötü amaçlı komut dosyalarının proje dosyalarına enjekte edildiğini ve elma ve kabuk komutları aracılığıyla yürütüldüğünü belirtti.
Kampanya, şimdiye kadar sadece az sayıda yüksek değerli geliştirme ortamını etkileyen nispeten hedefleniyor.
Bununla birlikte, pano kaçırma, tarayıcı veri hırsızlığı ve Launchdaemon tabanlı kalıcılık da dahil olmak üzere modüllerinin karmaşıklığı, yazılım geliştirmede artan bir tedarik zinciri sömürüsü eğilimini ortaya koymaktadır.
Yapım yürütmesi üzerine, kötü amaçlı yazılımlar önceki varyantlarla tutarlı dört aşamalı bir zincir izler, ancak şimdi bir komut ve kontrol (C2) sunucusundan dinamik olarak yeni alt modülleri indiren ve çalıştıran dördüncü aşama ekler.
Bu alt modüller, değiştirilmiş bir şekilde getirilir ve yürütülür boot Firefox kurulumları ve telgraf ikili dosyaları için ek kontroller içeren işlev, daha geniş tarayıcı hedefleme ve mesajlaşma-uygulama keşiflerini sağlayan.
Genişletilmiş info-stealer modülü, verileri Firefox profillerinden bile püskürtür, önceki krom ve safari hırsızlığı yeteneklerini tamamlar.
%20function%20of%20the%20latest%20version%20(Source%20-%20Microsoft).webp)
Bu yinelemede, işlevselliği gizlemek ve statik analizden kaçmak için şifrelenmiş yükler ve derlenmiş sadece çalıştırılmış elma metinleri kullanılır.
Şifre çözme rutini (dec) Applescript’te uygulanır ve şifreli blobun ilk 32 baytından çıkarılan sert kodlanmış bir AES anahtarı ve başlatma vektörü kullanır.
Base64 kod çözmesinden sonra, komut dosyası AES şifre çözme ilkelini daha fazla yük yürütme için bir yapılandırma dosyası almak için çağırır.
%20function%20(Source%20-%20Microsoft).webp)
on dec(in)
set iv to text 1 thru 32 of in
set encryptedData to (do shell script "echo \"" & (text 33 thru -1 of in) & "\" | base64 --decode")
set key to "27860c1670a8d2f3de7bbc74cd754121"
set decryptedBlob to do shell script "openssl aes-256-cbc -d -K " & key & " -iv " & iv & " <<< " & quoted form of encryptedData
return decryptedBlob
end decEnfeksiyon mekanizması
Enfeksiyon zinciri, bir geliştirici tehlikeye atılan bir Xcode projesi açtığında veya oluşturduğunda başlar. Kötü niyetli bir çalışma komut dosyası aşaması, C2'den dördüncü aşamalı elma metresini indiren bir kabuk komutu enjekte eder.
Bu komut dosyası önce kurulu tarayıcıları ve mesajlaşma uygulamalarını numaralandırarak ortamı doğrular, ardından veri hırsızlığı ve kalıcılık için tasarlanmış ek modüller getirir.
Pano monitörleri, kullanıcılar tarafından kopyalanan kripto para birimi adreslerini keserek, önceden tanımlanmış Regex kalıpları eşleşirse saldırgan kontrollü adreslerle değiştirilir.
Bu arada, LaunchDaemon subayı bir sahte yazıyor com.google.System Settings.app içine koymak tmp dizin, kalıcı bir. Sistem lansmanına yük yükü yüklenir.
Meşru bir sistem bileşeni olarak maskelenen XCSSET, yeniden başlatmalarda yürütmeyi sürdürür ve gündelik denetimden kaçınır.
Bu yeni XCSSET varyantı, geliştiricilere yönelik macOS tedarik zinciri saldırılarında ileriye doğru bir sıçrama temsil ediyor.
Şifreli elma metinleri, dinamik modül yüklemesi ve işletim sistemi düzeyindeki kalıcılık, yazılım bütünlüğü için önemli bir tehdit oluşturur.
Geliştiriciler, Xcode proje kaynaklarının gerçekliğini doğrulamaya, yapılar sırasında beklenmedik ağ isteklerini izlemeleri ve anormalliği tespit edebilen uç nokta koruma çözümlerini dağıtmaları istenir. osascript İnfazlar ve gizli Launchdaemon girişleri.
Sürekli uyanıklık ve zamanında yazılım güncellemeleri, XCSSET gibi gelişen tehditlere karşı en etkili savunmalar olmaya devam etmektedir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X'te takip edin- CSN'yi Google'da tercih edilen bir kaynak olarak ayarlayın.
