SSET усиливает атаки на разработчиков Mac: украдены кошельки и буфер обмена

По данным Microsoft, MacOS-шпионская программа XCSSET переживает значительную эволюцию, что делает её более опасной для пользователей. Новая версия вредоносной программы получила дополнительные механизмы для сохранения своей активности, включая использование LaunchDaemon-сущностей. Это позволяет XCSSET оставаться в системе даже после перезагрузки. Кроме того, вредоносный код теперь может выявлять и красть данные через браузер Mozilla Firefox, а также запускаться через run-only скрипты AppleScript.

Угроза для разработчиков

XCSSET продолжает фокусироваться на разработчиках, использующих Xcode для создания приложений на MacOS. Вредоносная программа активируется во время сборки проекта и направлена на кражу информации, включая криптовалютные кошельки. Программа отслеживает содержимое буфера обмена и заменяет копируемые адреса кошельков на свои, что приводит к перенаправлению средств в пользу злоумышленников.

Кроме того, XCSSET может использовать буфер обмена для сбора конфиденциальной информации, что расширяет её возможности за пределы только манипуляций с транзакциями. Microsoft отмечает, что в новой версии появился отдельный модуль, который упрощает процесс передачи данных злоумышленникам.

i

Создано специально для ASECTOR

Концептуальное изображение

Меры по борьбе с угрозой

Компания Microsoft сообщила Apple о выявленной уязвимости и совместно с GitHub провела демонтаж заражённых репозиториев. В официальном отчёте Microsoft также приводятся рекомендации по защите от XCSSET. Среди них — осторожность при работе с проектами Xcode из сторонних репозиториев, обновление до последней версии MacOS и регулярная проверка содержимого буфера обмена.

Кроме того, Microsoft рекомендует пользователям воспользоваться встроенными средствами защиты, такими как Defender SmartScreen в Microsoft Edge и Defender for Endpoint для MacOS. Хотя Microsoft активно отслеживает развитие XCSSET, её репутация в сфере кибербезопасности на платформе MacOS остаётся под вопросом.

Эволюция XCSSET: когда вредоносная программа становится частью экосистемы

Появление новой версии вредоносной программы XCSSET на платформе MacOS не только обновление угрозы — это сдвиг в стратегии киберпреступности, ориентированной на специфические слои пользователей. Теперь речь идёт не о случайных жертвах, а о целенаправленной атаке на профессиональную среду — разработчиков, которые доверяют своей инфраструктуре. Это не только техническая проблема, а системный вызов для безопасности в сфере программирования.

Когда инструменты становятся оружием

XCSSET использует для своей активности стандартные механизмы MacOS, такие как LaunchDaemon, что делает её особенно опасной. Это не случайный приём — это глубокое понимание того, как работает операционная система. Такой подход снижает вероятность обнаружения, так как вредоносный код выглядит как часть системы.

Важный нюанс: Злоумышленники не только эксплуатируют уязвимости — они интегрируются в них. Это означает, что традиционные методы обнаружения угроз могут оказаться недостаточными, если не пересмотреть подход к мониторингу системной активности.

Кроме того, поддержка взаимодействия с Firefox и AppleScript указывает на расширение спектра целей. Это уже не только кража криптовалютных кошельков, но и сбор широкого спектра данных, включая буфер обмена — один из самых уязвимых элементов в пользовательском интерфейсе.

В контексте современных атак стоит учитывать и другие методы, используемые злоумышленниками. Например, в сентябре 2025 года была зафиксирована атака с использованием GitHub, где злоумышленники распространяли вредоносную программу AMOS. Пользователей перенаправляли на фишинговый сайт, где предлагалось выполнить команду в терминале, после чего запускалось вредоносное ПО. Атака обходила защитные механизмы macOS, такие как Gatekeeper и XProtect, что делает её особенно опасной. Такие подходы демонстрируют, как быстро эволюционируют методы киберпреступности, используя доверие к популярным платформам и инструментам.

Атака на доверие

Разработчики, особенно работающие с Xcode, находятся в зоне повышенного риска. Они доверяют своим инструментам, своим репозиториям и своей системе. XCSSET подрывает это доверие, внедряясь в процесс сборки и манипулируя данными в момент, когда пользователь меньше всего ожидает атаки. Это не случайная утечка, а систематическая эксплуатация доверия к профессиональной среде.

Важный нюанс: Атаки такого типа могут стать стандартом в будущем: вместо массовых фишинговых атак злоумышленники будут фокусироваться на узких, но критически важных группах пользователей, где один заражённый репозиторий может повлиять на десятки, а то и сотни проектов.

Как реагировать — и что не работает

Microsoft предложила ряд мер по защите: обновления, проверка буфера обмена, использование встроенных инструментов безопасности. Но эти рекомендации больше похожи на реакцию, чем на стратегию. Они не решают проблему интеграции вредоносного кода в систему, а лишь пытаются минимизировать ущерб.

Такие подходы подходят для краткосрочной защиты, но не для долгосрочной стратегии безопасности. Особенно в условиях, когда угроза становится частью экосистемы, а не внешним фактором. Здесь нужен системный подход — пересмотр политики управления репозиториями, автоматизация проверки кода, усиление аудита сторонних библиотек и инструментов.

Важный нюанс: Киберпреступность всё чаще становится профессиональной, специализированной и интегрированной. Это требует от разработчиков и компаний не только обновления ПО, но и смены менталитета в вопросах безопасности.

В условиях, когда даже крупные игроки, такие как Microsoft, не могут полностью оправдать доверие в сфере кибербезопасности на MacOS, становится очевидным, что традиционные методы защиты уже не справляются. Это не только вопрос программного обеспечения — это вопрос доверия к экосистеме, и она требует более глубокого, системного подхода к обеспечению безопасности.