Mối đe dọa âm thầm trong dự án Xcode

XCSSET không phải là cái tên xa lạ trong cộng đồng bảo mật macOS. Xuất hiện từ năm 2020, dòng mã độc này nhiều lần tái xuất với chiến lược tấn công quen thuộc: xâm nhập vào các dự án Xcode, khiến lập trình viên vô tình kích hoạt mã độc khi build ứng dụng.

Trong báo cáo mới công bố, nhóm săn mối đe dọa của Microsoft cho biết biến thể mới của XCSSET vẫn giữ nguyên “công thức” đó nhưng nay đã nâng cấp với loạt tính năng nguy hiểm hơn, tập trung vào khả năng che giấu, duy trì lâu dài trên hệ thống và ăn cắp tiền điện tử.

Chuỗi lây nhiễm bốn giai đoạn – nhưng tinh vi hơn

Theo Microsoft, quy trình lây nhiễm của XCSSET mới vẫn gồm 4 giai đoạn, song giai đoạn cuối đã được chỉnh sửa mạnh tay. Điểm mới đáng chú ý:

• Module nhắm vào Firefox: sử dụng bản chỉnh sửa của công cụ mã nguồn mở HackBrowserData để đánh cắp thông tin trình duyệt.
• Clipboard hijacker: giám sát văn bản người dùng copy và thay thế địa chỉ ví tiền điện tử bằng địa chỉ của kẻ tấn công.
• Persistence: cài đặt LaunchDaemon thực thi payload ẩn tên “.root” và thậm chí thả một file System Settings.app giả trong thư mục /tmp để ngụy trang hoạt động.

Kỹ thuật che giấu mới và tấn công trực diện vào phòng thủ macOS

Biến thể XCSSET lần này bổ sung nhiều lớp làm rối (obfuscation), bao gồm AppleScript dạng run-only đã được biên dịch, khiến các chuyên gia phân tích khó truy vết.

Nguy hiểm hơn, nó còn vô hiệu hóa một số cơ chế bảo vệ gốc của Apple:

• Chặn cập nhật tự động của macOS.
• Vô hiệu hóa Rapid Security Responses, vốn là tuyến phòng thủ nhanh của Apple với lỗ hổng zero-day.

Điều này cho thấy nhóm vận hành XCSSET đang hướng tới chiến lược “nằm vùng lâu dài” – tồn tại trong hệ thống càng lâu càng tốt, đồng thời mở rộng nguồn lợi từ đánh cắp dữ liệu đến trộm tiền điện tử.

Nhà phát triển Apple: trở thành mục tiêu số một

Đối tượng chính của XCSSET vẫn là lập trình viên Apple. Vì mã độc chui vào dự án Xcode, nên chỉ cần một thao tác build ứng dụng, lập trình viên đã tự tay kích hoạt payload độc hại.

Các nhà nghiên cứu cảnh báo từ tháng 2/2025 rằng các repository chia sẻ công khai và dự án cộng đồng đang bị lợi dụng làm kênh phát tán. Biến thể mới thậm chí còn “cắm rễ” tinh vi hơn nhờ chỉnh sửa trong phần cài đặt dự án Xcode, giúp né tránh công cụ phát hiện.

Microsoft – từ nạn nhân đến người cảnh báo

Trong thông cáo, Microsoft nhấn mạnh rằng các cuộc tấn công quan sát được vẫn còn hạn chế, nhưng tính dai dẳng của XCSSET cho thấy nguy cơ sẽ tiếp tục leo thang. Công ty đã phối hợp với Apple và GitHub để loại bỏ các repository bị nhiễm.

Ngoài ra, Redmond cũng khuyến cáo:

• Lập trình viên nên kiểm tra kỹ dự án trước khi build.
• Luôn cập nhật macOS và các bản vá bảo mật.
• Sử dụng công cụ bảo mật đầu cuối (endpoint security) có khả năng phát hiện daemon lạ và các thay đổi bất thường trong property list.