最近趨勢科技發現一種罕見的感染手法，專門感染 Xcode 開發專案。經過進一步調查之後，我們在某開發人員的 Xcode 專案中發現了原始惡意程式，深入追查之後更找到其他惡意檔案。在這調查過程當中，最值得注意的是我們發現了兩個零時差漏洞攻擊手法：其中一個是利用 Data Vault 的某個缺陷來竊取瀏覽器的 Cookie；另一個則是用來操控開發版本的 Safari 瀏覽器執行惡意行為。

此威脅比尋常，因為其惡意程式碼是注入於本地端 Xcode 專案當中，因此當該專案在產生應用程式時就會執行惡意程式碼，這對 Xcode 開發人員來說尤其特別危險。當我們發現受害的開發人員將其專案分享到 GitHub 之後，此威脅也隨之升高，使用者若將此專用應用到自己的開發專案當中，會造成類似供應鏈攻擊的效果。此外，我們也從 VirusTotal 之類的來源發現到此威脅，表示這項威脅已經擴散開來。

以下摘要說明我們對此威脅的分析結果，詳細攻擊細節請參閱相關技術摘要。首先，我們將此惡意程式命名為「TrojanSpy.MacOS.XCSSET.A」其幕後操縱 (C&C) 相關檔案命名為「 Backdoor.MacOS.XCSSET.A」。

此惡意程式主要經由 Xcode 專案以及從此惡意程式所衍生的應用程式散布。目前還不清楚惡意程式一開始是如何進入被感染的系統，因為照理講這些系統主要開發人員在使用。這些 Xcode 專案已遭修改，因此當專案在產生應用程式時就會執行惡意程式碼，進而使得 XCSSET 的主要惡意程式被植入到受害系統上執行。此外，受害使用者的登入憑證、帳號以及其他重要資料也可能遭竊。

XCSSET 進入受害系統之後可能出現以下行為：