تطورت سلالة البرامج الضارة XCSSET طويلة الأمد مرة أخرى، مع تحذير Microsoft من متغير جديد لنظام التشغيل macOS يعمل على توسيع مجموعة الحيل الخاصة به مع الاستمرار في استهداف المطورين.
صيادو التهديد في ريدموند”_blank” href=”https://www.microsoft.com/en-us/security/blog/2025/09/25/xcsset-evolves-again-analyzing-the-latest-updates-to-xcssets-inventory/” rel=”nofollow”> قال يستمر الإصدار الأخير من XCSSET، والذي تم تداوله منذ عام 2020 على الأقل، في الانتشار من خلال ربط نفسه بمشاريع Xcode ولكنه يتمتع الآن بقدرات جديدة لزيادة تعقيد حياة الضحايا. Xcode عبارة عن مجموعة من أدوات المطورين لإنشاء التطبيقات على أجهزة Apple.
وهذه ليست المرة الأولى التي يعود فيها للظهور من جديد. مرة أخرى في فبراير،”_blank” href=”https://www.theregister.com/2025/02/17/macos_xcsset_malware_returns/”> حذرت مايكروسوفت أن عودة البرامج الضارة كانت تستخدم بالفعل مشاريع مطورين مخترقة لتوصيل حمولات ضارة. والآن يبدو أن العصابة التي تقف وراءها قد ذهبت إلى أبعد من ذلك، حيث قامت ببناء آليات أكثر سرية، والمزيد من التشويش، وتزايد الشهية لسرقة العملات المشفرة.
تبدو سلسلة العدوى مألوفة – أربع مراحل، تبلغ ذروتها في تنفيذ وحدات فرعية مختلفة – ولكن تم إعادة صياغة المرحلة النهائية. ومن بين التغييرات الأكثر بروزًا هناك وحدة تستهدف Firefox، حيث تقوم بسرقة المعلومات بمساعدة البنية المُعاد تجهيزها لأداة HackBrowserData مفتوحة المصدر. هناك أيضًا أداة اختراق جديدة للحافظة مصممة لمراقبة النص المنسوخ واستبدال عناوين محفظة العملات المشفرة بتلك التي تخص المهاجمين.
بالإضافة إلى ذلك، أفادت Microsoft أن البرامج الضارة تقوم بتثبيت LaunchDaemon الذي ينفذ حمولة مخفية تسمى .root وحتى يسقط وهمية System Settings.app ملف في /tmp لإخفاء نشاطها
أضاف المؤلفون أيضًا المزيد من طبقات التشويش، بما في ذلك استخدام AppleScripts المجمعة للتشغيل فقط، وتحاول البرامج الضارة إضعاف دفاعات Apple عن طريق تعطيل التحديثات التلقائية لنظام التشغيل MacOS والاستجابات الأمنية السريعة. تقول Microsoft إن هذه التعديلات تشير إلى أن المشغلين عازمون على البقاء دون أن يتم اكتشافهم لأطول فترة ممكنة مع توسيع فرصهم في تحقيق الدخل.
- الإصدار الجديد من LockBit هو “الأكثر خطورة حتى الآن”، حيث يصيب أنظمة التشغيل Windows وLinux وVMware ESXi
- تؤكد شركة فولفو أمريكا الشمالية سرقة بيانات الموظفين بعد هجوم برنامج الفدية على مورد تكنولوجيا المعلومات
- تطلب وكالات الأمن في المملكة المتحدة والولايات المتحدة إصلاحات عاجلة مع استغلال أخطاء جدار الحماية من Cisco بشكل واسع النطاق
- تشارك مجموعة Lazarus Group في كوريا الشمالية برامجها الضارة مع المحتالين العاملين في مجال تكنولوجيا المعلومات
بالنسبة للمطورين، يظل ناقل التهديد كما هو: حيث تتسلل البرامج الضارة إلى مشاريع Xcode، لذلك عندما يقوم المطور بإنشاء التعليمات البرمجية، فإنه ينفذ الحمولة الضارة عن غير قصد. في فبراير، حذر الباحثون من أن المستودعات المخترقة والمشاريع المشتركة كانت تعمل بالفعل كوسائل توزيع. هذا التكرار الأخير يجعل التضمين أسهل باستخدام إستراتيجيات مختلفة ضمن إعدادات المشروع لتجنب الاكتشاف.
وشددت مايكروسوفت على أن الهجمات التي شوهدت حتى الآن كانت محدودة، ولكن نظرًا لاستمرار XCSSET على مر السنين، فإن الوحدات الجديدة هي تذكير بأن النظام البيئي للمطورين من Apple لا يزال هدفًا جاهزًا. شاركت الشركة النتائج التي توصلت إليها مع Apple وتعاونت مع GitHub لإزالة المستودعات المتأثرة بـ XCSSET.
وتحث الشركة أيضًا المطورين على فحص المشاريع قبل تشغيل الإصدارات، والحفاظ على تصحيح نظام التشغيل macOS، واستخدام أدوات أمان نقطة النهاية القادرة على اكتشاف البرامج الخبيثة المشبوهة وتعديلات قائمة الخصائص. إنه تحذير يعرف ريدموند قيمة الأمر بشكل مباشر، بعد أن واجه نصيبه من البرامج الضارة والتطفلات المدعومة من الدولة في السنوات الأخيرة.
قد لا يكون لدى XCSSET نفس الاسم الذي يمكن التعرف عليه مثل LockBit أو عصابات برامج الفدية الأخرى، لكنها أثبتت مرونتها بشكل مدهش. بالنسبة لأي شخص يعمل في Xcode، فإن الفكرة واضحة: لا تفترض أن المشروع آمن – فالإصدار التالي الذي تقوم بتشغيله يمكن أن يفعل أكثر بكثير مما تتوقع. ®