Se ha descubierto que varios proyectos de Xcode contienen malware que puede atacar Safari y otros navegadores, según han revelado los investigadores de seguridad, con el descubrimiento del malware XCSSET que se abre paso en los proyectos de software de Mac a través de medios en gran parte desconocidos.
Los investigadores de Trend Micro descubrieron lo que la compañía describe como “una infección inusual relacionada con los proyectos de desarrollo de Xcode”, donde el malware se incorporaría al proyecto en sí. Se descubrió que el malware tiene múltiples posibilidades de carga útil y, aunque presenta un riesgo potencial para los usuarios finales que utilizan software desarrollado a través de AppleIDE, en realidad parece ser un problema mayor para los propios desarrolladores.
Se descubrió que el malware, que es parte de la familia XCSSET, incorporaba archivos que sugerían que habilitaría un “comando y control” de un sistema objetivo, es decir, que permitiría al atacante que usa el malware tomar el control de la Mac infectada. Esto puede permitir que se realicen una amplia variedad de acciones en los sistemas infectados, incluida la adquisición de datos personales y la realización de un ataque de tipo ransomware que involucre cifrado.
El equipo sugiere que la naturaleza inusual del malware se debe a cómo se distribuye, es decir, que se “inyecta en proyectos locales de Xcode para que cuando se construya el proyecto, se ejecute el código malicioso”. No está claro exactamente cómo se está inyectando el código en el proyecto en este momento.
Para los desarrolladores que dependen de la colaboración con otros, Trend Micro sugiere que la amenaza es peor cuando se tienen en cuenta los proyectos que se comparten a través de GitHub y otros repositorios de código, ya que esto podría conducir a “un ataque similar a una cadena de suministro para los usuarios que dependen de estos repositorios como dependencias en sus propios proyectos “.
Después de ser instalado, el malware puede atacar Safari y otros navegadores en la Mac para adquirir datos útiles del usuario. Las vulnerabilidades de día cero descubiertas incluyen un problema con Data Vault que omite la función de protección de integridad del sistema de macOS, así como en Safari para el desarrollo de WebKit que crea una aplicación de Safari falsa que se ejecuta en lugar de la versión legítima.
Hasta ahora, el malware solo se ha encontrado en dos proyectos de Xcode en investigación hasta ahora, y se cree que los proyectos no serán ampliamente utilizados por otros desarrolladores, lo que limita severamente el impacto. Los autores de malware recopilaron una lista de 380 direcciones IP de víctimas, y la gran mayoría de las infecciones correspondieron a Mac en China e India.
Trend Micro recomienda que los propietarios de proyectos “continúen verificando tres veces la integridad de sus proyectos para poder eliminar definitivamente problemas injustificados como una infección de malware en el futuro”.
