مایکروسافت اخیراً یک گونه جدید از بدافزار XCSSET را در حملاتی شناسایی کرده که روی سیستم‌های macOS تمرکز دارد و به‌طور خاص اطلاعات حساس کاربران، از جمله کیف پول‌های ارز دیجیتال و داده‌های برنامه Notes، را هدف قرار می‌دهد. بدافزار XCSSET از طریق پروژه‌های آلوده Xcode منتشر می‌شود و دست‌کم پنج سال سابقه فعالیت دارد. در هر به‌روزرسانی، قابلیت‌های آن گسترش می‌یابد و این اولین ارتقا پس از سال ۲۰۲۲ محسوب می‌شود.

تیم اطلاعات تهدید مایکروسافت دریافته است که این گونه جدید دارای پنهان‌سازی پیشرفته‌تری در کد و روش‌های ماندگاری (Persistence) بهبودیافته است. برای مثال، از تکنیک‌های رمزگذاری چندلایه نظیر Base64 و xxd (hexdump) با تکرارهای متفاوت استفاده می‌کند تا تحلیل کد را سخت‌تر سازد. همچنین، بدافزار برای پایداری خود از دو روش متفاوت بهره می‌گیرد: ایجاد تغییر در فایل پیکربندی zsh (زیرعنوان zshrc) و دستکاری Dock. در روش نخست، فایل جدیدی به نام ~/.zshrc_aliases ایجاد می‌کند که کد بدافزار را دربر دارد و سپس از طریق ویرایش فایل ~/.zshrc، آن را در هر بار باز شدن شل بارگذاری می‌کند. در روش دوم، یک ابزار امضاشده به نام dockutil از سرور کنترل و فرمان مهاجم دریافت می‌شود تا آیتم‌های Dock مدیریت شوند و یک برنامه مخرب Launchpad نیز جایگزین نسخه اصلی شود و هنگام اجرای Launchpad، هر دو برنامه واقعی و بدافزار هم‌زمان فعال شوند.

علاوه بر این، تغییراتی در روش‌های آلودگی پروژه‌های Xcode صورت گرفته است؛ بدافزار می‌تواند با استفاده از کلیدها و گزینه‌هایی نظیر TARGET، RULE یا FORCED_STRATEGY در پروژه نفوذ کند و حتی در بخشی مانند TARGET_DEVICE_FAMILY نیز درج شود. نتیجه این کار، آلوده کردن مخفیانه طیف گسترده‌ای از پروژه‌های احتمالی است.

XCSSET افزون بر گرد‌آوری اطلاعات مکانی و سیستمی، می‌تواند اعتبارنامه‌های ورود، داده‌های نرم‌افزارهای چت، کیف پول‌های رمز‌ارز و حتی محتویات برنامه یادداشت‌ها (Notes) را جمع‌آوری و به سرور اصلی ارسال کند. مایکروسافت به توسعه‌دهندگان توصیه کرده است پروژه‌ها و کدهای Xcode را که از منابع غیررسمی دریافت می‌کنند، با دقت بررسی کنند؛ چرا که ممکن است بدافزار یا درهای پشتی (Backdoor) در آن‌ها تعبیه شده باشد.