Microsoft ha detectado una nueva variante del malware XCSSET para macOS, dirigida específicamente a desarrolladores que usan Xcode. Esta versión incorpora funcionalidades avanzadas como robos de datos de navegador, secuestro del portapapeles y nuevos mecanismos de persistencia para atacar entornos de desarrollo.
La familia de malware XCSSET, conocida por atacar sistemas macOS a través de proyectos Xcode infectados, vuelve a estar en el punto de mira tras la publicación de un nuevo informe por parte de Microsoft Threat Intelligence. El vector de infección se centra en desarrolladores, explotando la práctica común de compartir proyectos de desarrollo.
El nuevo XCSSET presenta capacidades ampliadas. Ahora, utiliza una versión modificada de la herramienta open-source HackBrowserData para extraer contraseñas y sesiones de Firefox, se centra en el hurto de criptomonedas mediante la monitorización del portapapeles con patrones RegEx que detectan y reemplazan direcciones asociadas a carteras, y refuerza su persistencia creando entradas LaunchDaemon y una falsa ‘System Settings.app’ que oculta su actividad. Su principal mecanismo de propagación sigue siendo la infección de proyectos Xcode: una vez que el proyecto es compilado, el código malicioso se replica y puede llegar a otros desarrolladores mediante colaboraciones o repositorios compartidos.
El impacto potencial incluye la exfiltración de credenciales, robo de notas personales, sustracción de carteras de criptomonedas y datos sensibles almacenados en navegadores. La capacidad de infiltración a través de proyectos colaborativos incrementa el riesgo para entornos de desarrollo, pudiendo afectar a empresas y cadenas de suministro de software. Además, la sofisticación de los nuevos métodos de persistencia dificulta tanto su detección temprana como la remoción.
Para mitigar estas amenazas, se recomienda encarecidamente a los desarrolladores inspeccionar cualquier proyecto Xcode recibido antes de compilarlo. Mantener macOS y las aplicaciones actualizadas es crucial, dado que XCSSET ha explotado vulnerabilidades zero-day previamente. El uso de una solución EDR para macOS y la revisión constante de procesos y aplicaciones sospechosas puede ayudar a detectar actividad anómala. Además, es esencial realizar backups regulares y no reutilizar credenciales entre servicios.
El resurgimiento de XCSSET demuestra la obstinación de las amenazas dirigidas contra el ecosistema de Apple, especialmente hacia desarrolladores. La defensa proactiva, la actualización constante y las buenas prácticas de higiene digital son fundamentales en este contexto. Sin vigilancia, un solo proyecto contaminado puede comprometer toda una organización.
Más información
- Microsoft: https://www.microsoft.com/en-us/security/blog/2025/09/25/xcsset-evolves-again-analyzing-the-latest-updates-to-xcssets-inventory/
- Microsoft warns of new XCSSET macOS malware variant targeting Xcode devs: https://www.bleepingcomputer.com/news/security/microsoft-warns-of-new-xcsset-macos-malware-variant-targeting-xcode-devs/
