Ouvrir le menu principal

MacGeneration

Recherche

XCSSET, un malware atypique qui se propage grâce à Xcode 🆕

Nicolas Furno

lundi 24 août 2020 à 19:00 • 28

Logiciels

Article d'origine 17/08 — Les chercheurs en sécurité de TrendMicro lèvent le voile sur un nouveau malware qui se distingue par sa voie de diffusion. Visant les développeurs d’apps pour macOS, XCSSET se loge dans un projet Xcode et s’injecte automatiquement dans les apps compilées par l’outil de développement d’Apple. Il se propage ensuite à l’insu du développeur qui distribue son app sans savoir qu’elle contient un malware.

Si cela ne suffisait pas, le malware peut aussi infecter un dépôt Git partagé par un premier développeur et ensuite utilisé par d’autres développeurs. C’est le principe des dépendances, très courant dans le monde du développement, qui est ainsi exploité par les créateurs du logiciel malveillant pour le déployer plus largement. Le code malicieux se cache dans un dossier masqué dans le dossier xcuserdata qui contient les données du développeur. Il n’y a normalement pas de code à cet emplacement, ce qui complique sa détection.

Logo de base TrendMicro, montage MacGeneration.

Une fois en place sur un Mac, le malware exploite notamment deux failles de sécurité « zero-day », c’est-à-dire de nouvelles failles inconnues jusqu’alors. Elles touchent toutes les deux Safari et permettent de récupérer tous les cookies du navigateur et, plus gênant encore, d’injecter du code JavaScript pour la version de développement du navigateur, Safari Technology Preview. Quand cette version est installée, la faille permet de modifier chaque page web, par exemple pour injecter de la publicité contrôlée par le malware ou, potentiellement plus grave, voler des informations confidentielles lors d’un paiement ou d’une connexion à un site.

Apple va sans doute bloquer ces deux failles de sécurité sans attendre, mais le malware a d’autres armes pour s’en prendre à un Mac infecté. Il est taillé pour voler des informations dans plusieurs autres apps : Evernote, Notes, Skype, Telegram, QQ et WeChat. Il peut aussi prendre des captures d’écran et envoyer des fichiers sur un serveur distant. Et pour couronner le tout, c’est un ransomware qui peut chiffrer des fichiers et réclamer un paiement pour les débloquer.

Le fonctionnement exact du malware est détaillé dans cet article technique qui est très clair et peut être lu sans connaissances préalables, si le sujet vous intéresse. XCSSET est particulièrement actif et dangereux une fois installé sur un Mac, mais on ne sait pas s’il y a beaucoup d’utilisateurs touchés. Les chercheurs de TrendMicro ont trouvé deux projets GitHub publics qui intégraient le code malveillant capable de contaminer des apps lors de la compilation, mais ce sont fort heureusement des projets mineurs qui ne sont pas destinés à être utilisés par d’autres développeurs et qui ne correspondent pas à des apps connues.

Naturellement, la majorité du code source des apps n’est pas public et on ne peut pas connaître facilement le niveau d’activité du malware. Autre inconnue, on ne sait pas comment un système est infecté à l’origine. Si vous êtes vous-même développeur, vous trouverez toutes les explications pour vérifier vos projets Xcode sur le site de TrendMicro.


Mise à jour 24/08 — Oleksandr Shatkivskyi et Vlad Felenuik, les deux chercheurs à l'origine de la découverte du malware XCSSET, ont expliqué à MacRumors que les projets Xcode infectés peuvent passer entre les mailles des inspecteurs du Mac App Store : ils seraient en effet « largement dans l'incapacité de détecter des applications contenant le malware ».

Les deux spécialistes ont prévenu Apple en décembre 2019, et ils espèrent qu'Apple va mettre au point une réponse efficace pour lutter contre le logiciel malfaisant (on l'espère également). Cela pourrait passer par des alertes prévenant l'utilisateur qu'un malware est actif dans macOS, ce qui n'est pas très rassurant au passage.

Shatkivskyi et Felenuik pensent également que ce malware pourrait fonctionner sur les Mac Apple Silicon (ils n'ont pas pu le vérifier, n'ayant pas de DTK sous la main).

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Entre dérives, intégration dans les Tesla et nouvelle version, la semaine agitée de Grok et xAI

12/07/2025 à 16:30

• 35


Vos fichiers à l’abri pour toujours : l’offre pCloud qui tombe à pic 📍

12/07/2025 à 10:30

• 0


Sortie de veille : après le départ du n°2 d’Apple, Tim Cook est-il le prochain sur la liste ?

12/07/2025 à 08:00

• 44


Notre top 5 des accessoires à avoir pendant les vacances (et en promo) !

11/07/2025 à 23:52

• 26


Dernières heures du Prime Day - les offres à ne pas rater : AirPods, serrures HomeKit, Microsoft 365… 🆕

11/07/2025 à 23:40

• 29


Prime Day : les promos Apple (et high-tech) les plus populaires

11/07/2025 à 23:30

• 5


Prime Day : nouveaux prix record sur les MacBook Air et Mac mini M4

11/07/2025 à 20:51

• 5


La Chine s'attaque aux batteries externes de mauvaise qualité, ce qui cause des remous chez les fabricants

11/07/2025 à 20:48

• 36


L’abonnement Google AI Ultra disponible en France pour 274,99 € par mois

11/07/2025 à 20:30

• 20


Le Mac Pro 2013 devient Vintage, ainsi que d’autres produits Apple

11/07/2025 à 20:00

• 16


Aura Aspen : un nouveau cadre photo numérique qui ressemble plus à un cadre traditionnel

11/07/2025 à 18:00

• 8


Le Royaume-Uni et la France investissent dans Eutelsat pour contrer Starlink

11/07/2025 à 17:35

• 112


Prime Day : les meilleurs écrans 4K, portables et ultralarges

11/07/2025 à 15:02

• 1


Prime Day : les derniers bons plans pour équiper sa maison en domotique

11/07/2025 à 15:01

• 14


Test du SSD externe Crucial X10, qui peut atteindre 8 To

11/07/2025 à 13:00

• 0


Prime Day : les meilleurs SSD externes en promotion, de 1 à 8 To !

11/07/2025 à 11:14

• 11