マルコム・オーウェン
· 2分で読めます
セキュリティ研究者らは、Xcode プロジェクトのいくつかに、Safari やその他のブラウザを攻撃できるマルウェアが含まれていることが発見され、XCSSET マルウェアがほとんど知られていない手段で Mac ソフトウェア プロジェクトに侵入していることが判明したことを明らかにした。
トレンドマイクロの研究者は、同社が「Xcode開発者プロジェクトに関連する異常な感染」と呼ぶものを発見しました。これは、マルウェアがプロジェクト自体に埋め込まれるというものです。このマルウェアには複数のペイロードの可能性があることが判明しており、AppleのIDEで開発されたソフトウェアを使用するエンドユーザーにとって潜在的なリスクとなる一方で、開発者自身にとってより大きな問題となるようです。
XCSSETファミリーに属するこのマルウェアには、標的システムの「コマンド&コントロール」を可能にすることを示唆するファイルが組み込まれていることが判明しました。つまり、このマルウェアを使用する攻撃者は、感染したMacを制御できるようになるということです。これにより、個人データの取得や、暗号化を伴うランサムウェア型の攻撃など、感染システム上で様々な操作を実行できるようになります。
チームは、このマルウェアの異常性は、その配布方法にあると示唆しています。具体的には、「ローカルのXcodeプロジェクトに注入され、プロジェクトのビルド時に悪意のあるコードが実行される」とのことです。現時点では、コードがプロジェクトに注入される具体的な方法は不明です。
トレンドマイクロは、他の開発者との共同作業に依存している場合、GitHub やその他のコード リポジトリを介してプロジェクトが共有されていることを考慮すると、脅威はさらに深刻になると指摘しています。これは、「自分のプロジェクトの依存関係としてこれらのリポジトリに依存しているユーザーに対するサプライ チェーンのような攻撃」につながる可能性があるためです。
インストールされると、このマルウェアはMac上のSafariやその他のブラウザを攻撃し、有用なユーザーデータを取得します。発見されたゼロデイ脆弱性には、macOSのシステム整合性保護機能を回避するData Vaultの問題や、正規版Safariの代わりに動作する偽のSafariアプリを作成するWebKit開発版Safariの問題などがあります。
これまでの調査で、このマルウェアは2つのXcodeプロジェクトでのみ発見されており、これらのプロジェクトは他の開発者に広く利用されていないと考えられているため、影響は限定的である。マルウェア作成者によって380件の被害者IPアドレスのリストが収集され、感染の大部分は中国とインドのMacに集中している。
トレンドマイクロは、プロジェクトオーナーに対し、「将来的にマルウェア感染などの不当な問題を確実に防ぐために、プロジェクトの整合性を継続的に3回チェックする」ことを推奨しています。
