Nuova variante del malware XCSSET prende di mira gli sviluppatori Xcode su macOS
Microsoft ha lanciato un nuovo allarme su XCSSET, il malware modulare che da anni insidia gli ambienti di sviluppo macOS. Secondo il team di threat intelligence della società, è stata individuata una variante aggiornata che introduce capacità inedite e tecniche di persistenza più sofisticate. Al momento gli attacchi risultano limitati, ma gli esperti mettono in guardia sul rischio di una diffusione più ampia.
Un vecchio nemico con nuove armi
XCSSET è noto dal 2020 come malware specializzato nel colpire gli sviluppatori che utilizzano Xcode, l’ambiente di sviluppo di Apple. La sua peculiarità è quella di diffondersi infettando i progetti Xcode presenti sul sistema: ogni volta che il progetto viene compilato, il codice malevolo viene eseguito e si propaga ulteriormente, sfruttando la naturale condivisione dei file tra team di sviluppo.
Il malware agisce come infostealer e crypto stealer, sottraendo appunti di sistema, portafogli di criptovalute e dati dei browser installati sul dispositivo. L’obiettivo è duplice: arricchire i criminali con informazioni sensibili e reindirizzare transazioni digitali verso indirizzi sotto il loro controllo.
Le novità della variante scoperta da Microsoft
La nuova versione di XCSSET integra strumenti più aggressivi. Una delle principali innovazioni è l’uso di una build modificata di HackBrowserData, un tool open source sfruttato per decifrare ed esportare informazioni dai browser. In questo modo, gli attaccanti non si limitano più a Safari e Chrome, ma riescono a compromettere anche Firefox.
È stato inoltre aggiornato il modulo di clipboard hijacking, che monitora la clipboard del sistema alla ricerca di stringhe compatibili con indirizzi di criptovaluta. Quando ne trova uno, lo sostituisce con quello dell’attaccante, dirottando così eventuali transazioni verso wallet controllati dai criminali.
Sul fronte della persistenza, gli sviluppatori del malware hanno introdotto metodi più efficaci: tra questi la creazione di voci LaunchDaemon in grado di eseguire un payload nascosto nella cartella utente (~/.root), oltre a un finto System Settings.app collocato nella directory temporanea /tmp per mascherare l’attività malevola.
Una minaccia ancora contenuta, ma seria
Microsoft specifica che gli attacchi osservati sono stati pochi e circoscritti, ma sottolinea l’importanza di non sottovalutare la minaccia. I ricercatori hanno condiviso i dettagli con Apple e con GitHub, dove sono stati individuati repository associati alla campagna, già sottoposti a rimozione.
La storia di XCSSET dimostra che il malware non si limita a tecniche banali: in passato ha sfruttato anche vulnerabilità zero-day per colpire i sistemi macOS, rendendolo particolarmente insidioso in ambienti di sviluppo dove la condivisione dei progetti è frequente e rapida.
Le raccomandazioni di sicurezza
Microsoft consiglia agli sviluppatori di adottare alcune contromisure chiave. Prima di tutto, mantenere sempre macOS e le applicazioni aggiornati, per ridurre il rischio legato a vulnerabilità note ed exploit zero-day. Inoltre, è fondamentale ispezionare con attenzione i progetti Xcode ricevuti da terzi prima di procedere alla compilazione, verificando che non contengano codice sospetto o file aggiuntivi anomali.
- Apple macOS security, clipboard hijacking, Crypto stealer, GitHub, HackBrowserData, infostealer, malware macOS, Microsoft Threat Intelligence, sicurezza informatica, sviluppatori Apple, Xcode, XCSSET
CERT-AGID 20–26 settembre: phishing, malware e PEC compromesse
L’importanza delle coperture assicurative cyber per ridurre i costi degli attacchi informatici
Altro in questa categoria