Microsoft Threat Intelligence alertó sobre una nueva variante del malware modular XCSSET dirigida a macOS, que introduce funciones de secuestro del portapapeles para desviar criptomonedas y mecanismos de persistencia más robustos. En paralelo, los operadores han ampliado la exfiltración de datos incorporando extracción de secretos del navegador Firefox. El hallazgo vuelve a situar la cadena de suministro de Xcode y los flujos de desarrollo de Apple en el centro de las amenazas actuales.
XCSSET: ataque a la cadena de suministro en proyectos Xcode
XCSSET es un conjunto de herramientas de robo de datos y monetización ilícita que se caracteriza por infectar proyectos Xcode. Al contaminar plantillas, fases de compilación o Run Scripts, el ejecutable malicioso se dispara durante la construcción de la app, facilitando la propagación entre desarrolladores que comparten repositorios y componentes. Históricamente, esta familia ha explotado vulnerabilidades 0‑day en el ecosistema Apple para comprometer navegadores y secuestrar sesiones, lo que subraya su capacidad de adaptación y su preferencia por vectores de cadena de suministro.
Novedades clave del malware XCSSET en macOS
Secuestro del portapapeles y sustitución de direcciones de criptomonedas
La principal innovación es un módulo que monitoriza el portapapeles de macOS. El código malicioso compara el contenido copiado por el usuario con patrones de direcciones de redes cripto mediante expresiones regulares. Si hay coincidencia, sustituye el identificador por una dirección controlada por los atacantes, desviando los fondos sin alertas visibles del sistema ni de las carteras afectadas. Dado que las transacciones en la mayoría de blockchains son irreversibles, un único descuido al pegar puede provocar pérdidas definitivas.
Exfiltración desde Firefox con HackBrowserData modificado
La variante desplegada integra una compilación modificada de HackBrowserData (herramienta de código abierto), con la que extrae credenciales guardadas, cookies y registros de navegación de Firefox. Esta capacidad amplía la superficie de robo más allá de notas, carteras y otros navegadores ya observados, y facilita el abuso de sesiones web, intercambio de tokens y escalada lateral entre servicios.
Persistencia y evasión: LaunchDaemon y suplantación de utilidades del sistema
Para permanecer activa tras reinicios, la campaña recurre a la creación de LaunchDaemon que ejecutan el payload desde rutas inusuales como ~/.root. En paralelo, despliega un señuelo con nombre System Settings.app en /tmp, aprovechando la confianza del usuario y de algunas herramientas en denominaciones y ubicaciones familiares. Esta combinación dificulta el análisis manual y eleva la resiliencia del implante frente a controles básicos.
Alcance y respuesta del ecosistema
Microsoft ha observado por ahora una distribución limitada, aunque con indicios de operaciones dirigidas. Los indicadores recopilados se han compartido con Apple, y la empresa colabora con GitHub para retirar repositorios vinculados, reduciendo la disponibilidad de infraestructura y artefactos maliciosos. Este tipo de coordinación entre proveedores acelera la interrupción de campañas y limita su efecto en la comunidad de desarrollo.
Recomendaciones de mitigación para macOS y flujos Xcode
Actualiza el entorno con prioridad. Mantén al día macOS, Xcode, navegadores y soluciones de seguridad. Activa y verifica Gatekeeper, y favorece apps firmadas y notarizadas. Considera el uso de XProtect/XProtect Remediator y EDR de clase empresarial.
Audita proyectos Xcode. Revisa Build Phases en busca de Run Scripts inesperados, dependencias no justificadas o plantillas alteradas. Aplica control de integridad de repositorios y code review antes de fusionar pull requests.
Supervisa la persistencia. Inspecciona periódicamente /Library/LaunchDaemons y ~/Library/LaunchAgents para detectar referencias a rutas anómalas (p. ej., ~/.root) o binarios en directorios temporales (/tmp).
Endurece las operaciones cripto. Comprueba los primeros y últimos caracteres de las direcciones antes de confirmar, utiliza libretas de direcciones o QR de fuentes verificadas y, cuando sea posible, listas blancas de destinatarios.
El desarrollo de XCSSET confirma una tendencia sostenida: los atacantes explotan los procesos de desarrollo y la cadena de suministro como puerta de entrada a macOS. Invertir en higiene de proyectos, controles de arranque y hábitos seguros al mover criptoactivos reduce de forma significativa la superficie de ataque. Es un buen momento para reforzar la vigilancia en pipelines de CI/CD, activar telemetría de EDR y formar a los equipos de ingeniería en detección temprana de anomalías.
