微软威胁情报报告称，在小规模攻击中检测到 XCSSET macOS 恶意软件的新变种。该变种新增多项功能，包括强化浏览器定向攻击、剪贴板劫持及改进的持久化机制。

XCSSET 是一款模块化 macOS 恶意软件，兼具信息窃取与加密货币窃取功能，可从受感染设备中窃取 " 备忘录 " 数据、加密货币钱包信息及浏览器数据。

其传播方式为：搜索设备中存储的其他 Xcode 项目并植入恶意代码，待目标项目编译构建时，恶意软件便会随之执行。

据悉，XCSSET 恶意软件专门针对软件开发人员常用的 Xcode 项目进行感染，并在 Xcode 项目编译构建过程中启动运行。据微软评估认为，这种感染与传播模式，利用的是开发苹果或 macOS 相关应用的开发者之间共享项目文件的行为。

新变种的核心升级点

微软观察到该新变种存在多项关键改动，攻击能力显著增强：

1.   扩展浏览器数据窃取范围：新变种通过安装经篡改的开源工具 HackBrowserData 构建版本，尝试窃取 Firefox 浏览器数据。该工具可从浏览器数据存储区中解密并导出数据。

2.   升级剪贴板劫持组件：新增的剪贴板监控功能会扫描 macOS 剪贴板中与加密货币地址相关的正则表达式模式。

一旦检测到加密货币地址，就会将其替换为攻击者控制的地址——这意味着受感染设备上的用户发起的加密货币转账，会被篡改为向攻击者地址转账。

攻击者与剪贴板劫持者使用的加密货币地址

3.   新增持久化手段：包括创建 LaunchDaemon 条目以执行 ~/.root 恶意载荷，以及在 /tmp 目录中伪造 " 系统设置 .app（System Settings.app）"，以此伪装自身活动，确保设备重启后仍能维持恶意驻留。

攻击现状与防御建议

目前该新变种尚未广泛传播，微软表示仅在小规模攻击中发现其踪迹。研究人员已向 Apple 通报相关发现，并正与 GitHub 合作移除相关恶意代码仓库。

为防范此类恶意软件，建议采取以下措施：

·及时更新 macOS 系统及各类应用——鉴于 XCSSET 此前曾利用包括零日漏洞在内的多个漏洞发起攻击，版本更新是关键防护手段；

·开发者在编译 Xcode 项目前，务必仔细检查项目内容，尤其是接收他人共享的项目文件时，更需严格核验安全性。