Xcode中毒，XCSSET Malware

背景

前两周（2021年2月末），突然我的电脑（MacBook Pro v10.15.7）打开不了Safari，重启之后又可以了。一开始没在意，后面每次重启电脑之后及时打开Safari，中间似乎莫名其妙被强制退出，中间咨询Apple客服，回答模棱两可（1.重置硬件SMC、安全启动）似乎都没效果。后面异常问题逐渐凸显，最终锁定是'[XCSSET Malware]'。

XCSSET Mac Malware: Infects Xcode Projects, Performs UXSS Attack on Safari, Other Browsers, Leverages Zero-day Exploits - TrendLabs Security Intelligence Blog

事件经过

从问题开始到最终确定原因，大致花了半个月，以下是我个人的事件经过： 

Safari异常

Safari无故被强退，重新打开后，没法同步ITunes账号信息，导致Safari的个人收藏无法显示。同时程序坞出现两个Safari图标，一个可以点击，另外一个无效

系统异常

系统的隐私多出很多com.net.core.xxx.app的异常APP程序，例如：/Users/yjs/Library/Application Scripts/com.apple.AddressBook.Shared

开机自启动的进程，强制删除这些进程，Safari可以正常打开

在“活动监视器”>“信息”>“打开文件和端口”中检查

cwd
/
txt
/Applications/Finder.app/Contents/MacOS/com.net.core.cputime.app/Contents/MacOS/applet
txt
/Library/Preferences/Logging/.plist-cache.r65cTIFH
txt
/usr/share/icu/icudt64l.dat
txt
/System/Library/Components/AppleScript.component/Contents/MacOS/AppleScript
txt
/Library/Application Support/CrashReporter/SubmitDiagInfo.domains
txt
/private/var/db/analyticsd/events.whitelist
txt
/private/var/db/timezone/tz/2021a.1.0/icutz/icutz44l.dat
txt
/System/Library/CoreServices/SystemAppearance.bundle/Contents/Resources/SystemAppearance.car
txt
/System/Library/CoreServices/SystemAppearance.bundle/Contents/Resources/DarkAquaAppearance.car
txt
/private/var/folders/h2/9pg_fk2x7sjbnskd5kn65xq40000gn/0/com.apple.LaunchServices.dv/com.apple.LaunchServices-1082-v2.csstore
txt
/usr/lib/libobjc-trampolines.dylib
txt
/System/Library/CoreServices/SystemAppearance.bundle/Contents/Resources/Assets.car
txt
/System/Library/Fonts/SFNS.ttf
txt
/System/Library/Frameworks/Carbon.framework/Versions/A/Frameworks/HIToolbox.framework/Versions/A/Resources/HIToolbox.rsrc
txt
/System/Library/Frameworks/Carbon.framework/Versions/A/Frameworks/HIToolbox.framework/Versions/A/Resources/zh_CN.lproj/Localized.rsrc
txt
/private/var/folders/h2/9pg_fk2x7sjbnskd5kn65xq40000gn/C/com.apple.IntlDataCache.le.kbdx
txt
/System/Library/CoreServices/SystemAppearance.bundle/Contents/Resources/FunctionRowAppearance.car
txt
/private/var/db/mds/messages/501/se_SecurityMessages
txt
/private/var/folders/h2/9pg_fk2x7sjbnskd5kn65xq40000gn/C/com.apple.scriptmanager2.le.cache
txt
/System/Library/CoreServices/SystemAppearance.bundle/Contents/Resources/DarkAppearance.car
txt
/System/Library/Fonts/PingFang.ttc
txt
/System/Library/Fonts/Helvetica.ttc
txt
/System/Library/Keyboard Layouts/AppleKeyboardLayouts.bundle/Contents/Resources/AppleKeyboardLayouts-L.dat
txt
/System/Library/ScriptingAdditions/StandardAdditions.osax/Contents/MacOS/StandardAdditions
txt
/usr/lib/dyld
0
/dev/null
1
/dev/null
2
/dev/null
3
/Library/Application Support/CrashReporter/SubmitDiagInfo.domains
4
/Applications/Finder.app/Contents/MacOS/com.net.core.cputime.app/Contents/Resources/applet.rsrc
5
/System/Library/Frameworks/Carbon.framework/Versions/A/Frameworks/HIToolbox.framework/Versions/A/Resources/HIToolbox.rsrc
6
/System/Library/Frameworks/Carbon.framework/Versions/A/Frameworks/HIToolbox.framework/Versions/A/Resources/zh_CN.lproj/Localized.rsrc

对应打开的/Users/yjs/Library/Containers/com.apple.routerd/Containers/

还会隐藏在其他常见的APP，例如微信

同时还会伪装成Finder.app在/Applications/Finder.app（实际位置：/System/Library/CoreServices/Finder.app）

开机启动自动弹出对应的脚本程序对话框

Xcode异常

刚好自己最近和小伙伴在开发一个Xcode项目（iOS混淆工具），前一阵子逐渐发现异样。

项目build之后工程文件下会莫名其妙出现：
xcuserdata/.xcassets/Assets.xcassets
 

 

以及confuse_test.xcodeproj->project.pbxproj文件出现看似‘正常的Build Phase’

删除又会报错误：
xcuserdata/.xcassets/Asset.xcasset: No such file or directory

  

一开始没在意以为是新版Xcode一些特性，因为所有的项目都出现这个项目，同事也一样（他的Safari又正常），可见这个病毒很鸡贼啊。关键还是隐藏目录，名字还`Assets.xcassets`甚是亲民，欺负诚实的程序员，套路很深。后面我好奇打开看了下，

妥妥的执行程序malloc准没好事
 
关键是删除之后，只要是其他项目打开有死灰复燃，打不死的小强

  
别人拷贝你的项目，也会中招，类似新冠病毒XCSSET_Technical_Brief.pdf报告说了会影响很多地方，无奈啊

挣扎过程

问题找到了趋势科技披露了一件与 Xcode 开发者项目有关的恶意感染事件，原本想问问Apple能有什么灵丹妙药，回复以下：

试了下malwarebytes，没有扫出来，难道我用的方式不对。如果有小伙伴发现有用，麻烦告知一声，多谢了。

朋友试了Trend Micro Home Security for Mac，好像没啥用

查看哪些项目感染，命令执行：

1. sudo find 此处填写文件夹路径 -name '.xcassets'
2. grep "xcuserdata/.xcassets" -rl 此处填写文件夹路径
3. ps -ef | grep "com\..*\.core\..*\.app

我的解决方式（很鸡肋，待更新）：

• 准备阶段：
  • 修改root密码
  • 压缩备份代码
  • 创建备用仓库，备份当前git历史记录
• Xcode项目，解决方式两种：
  • 稳妥：移除Pod、.git，新建工程只拷贝源码和自己的资源，xxx.xcodeproj丢弃，重置当前的仓库
  • 快捷：使用本人的开发‘工具’查杀，示意图如下

             

• Mac系统：
  • 慢慢移除非必要软件，最后一口气重装系统（中毒太深了，无法保证彻底查杀）

最近了解

苹果修复被 XCSSET 恶意软件滥用的3个 0day

1. 该恶意软件最早现身于2020年8月，隐藏在托管在 GitHub 上的恶意 Xcode 项目中。
2. 它被指利用了两个 0day exploit。第一个用于窃取 Safari 浏览器 cookie，第二个用于绕过提示安装开发者版本的 Safari 应用程序。

1. 该 0day 打包为一个 AppleScript，可使恶意软件绕过 Transparency Consent 和Control。它是一种 macOS 服务，每当 app 想要执行入侵行动时就会弹出权限提示，这些入侵行为包括使用摄像头、麦克风或者记录用户的屏幕和按下键盘。
2. XCSSET 恶意软件团伙滥用 CVE-2021-30713 搜素 macOS 中其它 app 的 ID。这些 app 接受了一个危险权限，之后在其中一个合法 app 中植入一个恶意小程序执行恶意动作。

苹果公司已经在 macOS Big Sur 11.4 安全更新中修复了 TCC。仍然运行老旧版本 macOS 的苹果用户易受攻击，建议更新系统。

虽然 XCSSET 恶意软件及其分发活动主要是针对开发人员，但其它恶意软件团伙也可能利用报告中提供的信息更新代码，并滥用 CVE-2021-30713 执行攻击。这也是为何建议 macOS 用户更新至最新版本 macOS Big Sur 11.4 的原因所在。

求助

有哪位大神能够妙手回春，恳请阁下出山，拯救黎明苍生，不胜感激

参考

1. https://www.reddit.com/r/iOSProgramming/comments/i9mwqt/xcsset_mac_malware_infects_xcode_projects/
2. https://www.trendmicro.com/en_us/research/20/h/xcsset-mac-malware--infects-xcode-projects--uses-0-days.html
3. 年度盘点 | 2020重大网络安全事件 · 互联网篇
4. https://www.trendmicro.com/en_us/research/20/h/xcsset-mac-malware--infects-xcode-projects--uses-0-days.html
5. https://therecord.media/apple-fixes-macos-zero-day-abused-by-xcsset-malware/