微软威胁情报中心报告发现新型macOS恶意软件XCSSET变种，该恶意软件最初于2022年被发现。新变种虽然攻击范围不大，但其利用感染Xcode项目的方式，对用户构成严重安全威胁。新版XCSSET不仅保留了窃取数字钱包、Notes应用数据、系统信息和文件的能力，而且通过升级Payload混淆和模块名称混淆，大幅提升隐蔽性，躲避安全软件检测，加大逆向分析难度。同时，该变种还通过“zshrc”潜伏和“dock”伪装，实现持久化驻留，确保恶意软件长期潜伏在受感染系统中。

🚨**XCSSET恶意软件变种重现：** 该恶意软件最初于2022年被发现，如今再次出现，表明其威胁并未消除，用户需保持警惕。

🛡️**隐蔽性大幅提升：** 新变种通过升级Payload混淆和模块名称混淆，采用更随机的payload生成方式，结合xxd和Base64编码，有效躲避安全软件检测，这使得发现和清除恶意软件变得更加困难。

🔄**持久化驻留手段升级：** 新变种采用“zshrc”潜伏（修改shell会话文件，实现开机自启动）和“dock”伪装（利用dockutil工具伪造Launchpad应用，诱骗用户点击，启动恶意代码）等手段，确保恶意软件长期潜伏在受感染系统中，增加了清除难度。

💻**攻击目标明确：** XCSSET恶意软件通过感染Xcode项目，对开发者和使用Xcode开发环境的用户构成严重安全威胁，可能导致代码泄露、应用被篡改等风险。

IT之家 2 月 18 日消息，微软威胁情报中心官方账号昨日（2 月 17 日）在 X 平台发布推文，报告发现一种名为 XCSSET 的新型 macOS 恶意软件变种。

XCSSET 恶意软件于 2022 年首次被发现，本次发现的新变种目前来看，虽然攻击范围不大，但其利用感染 Xcode 项目的手段，对用户构成严重安全威胁。

IT之家援引博文介绍，新版 XCSSET 不仅保留了窃取数字钱包、Notes 应用数据、系统信息和文件的能力，而且通过升级 Payload 混淆和模块名称混淆，大幅提升隐蔽性。

XCSSET 新变种采用更随机的 payload 生成方式，结合 xxd (hexdump) 和 Base64 编码，躲避安全软件检测；此外在代码层面混淆模块名称，加大逆向分析难度。

新变种为了确保恶意软件长期潜伏在受感染系统中，还通过“zshrc”潜伏（修改 shell 会话文件，实现开机自启动）和“dock”伪装（利用 dockutil 工具伪造 Launchpad 应用，诱骗用户点击，启动恶意代码），实现持久化驻留。

XCSSET 提供了多种将恶意代码植入 Xcode 项目的方式，包括 TARGET、RULE 和 FORCED_STRATEGY 等，还能藏匿于构建设置的 TARGET_DEVICE_FAMILY 值下。