Microsoft ha lanciato un nuovo allarme su XCSSET, il malware modulare che da anni colpisce gli ambienti di sviluppo macOS. Il team di threat intelligence dell’azienda segnala una variante aggiornata con capacità inedite e tecniche di persistenza più sofisticate. Al momento gli attacchi osservati sono pochi e circoscritti, ma gli esperti avvertono del rischio di una diffusione più ampia.
XCSSET, noto dal 2020, è un malware specializzato nel colpire gli sviluppatori che utilizzano Xcode, l’ambiente di sviluppo di Apple, infettando i progetti Xcode sul sistema: ogni volta che un progetto compromesso viene compilato, il malware si attiva e si propaga tramite la condivisione dei file tra i membri del team. Tra le funzionalità più pericolose figurano infostealer e crypto stealer, con sottrazione di appunti di sistema, dati dei browser e portafogli di criptovalute, a scopo di profitto illecito e dirottamento di transazioni digitali verso indirizzi sotto il controllo degli attaccanti.
La nuova variante introduce strumenti più aggressivi, tra cui una build modificata di HackBrowserData, un tool open source, che permette di estrarre informazioni anche da Firefox, oltre a Safari e Chrome. Aggiornato anche il modulo di clipboard hijacking, capace di sostituire indirizzi di criptovalute copiati con quelli degli attaccanti. Sul fronte della persistenza, XCSSET ora crea voci LaunchDaemon per eseguire payload nascosti e utilizza un finto System Settings.app nella cartella temporanea /tmp per mascherare le attività malevole.
Nonostante gli attacchi finora limitati, Microsoft sottolinea la gravità della minaccia, condividendo le informazioni con Apple e GitHub, dove sono stati rimossi repository associati alla campagna.
Microsoft consiglia agli sviluppatori di mantenere sempre aggiornati macOS e le applicazioni, e verificare attentamente i progetti Xcode ricevuti da terzi prima di procedere alla compilazione, per individuare eventuali codici sospetti o file aggiuntivi anomali.
