Microsoft Threat Intelligence alert贸 sobre una nueva variante del malware modular XCSSET dirigida a macOS, que introduce funciones de secuestro del portapapeles para desviar criptomonedas y mecanismos de persistencia m谩s robustos. En paralelo, los operadores han ampliado la exfiltraci贸n de datos incorporando extracci贸n de secretos del navegador Firefox. El hallazgo vuelve a situar la cadena de suministro de Xcode y los flujos de desarrollo de Apple en el centro de las amenazas actuales.
XCSSET: ataque a la cadena de suministro en proyectos Xcode
XCSSET es un conjunto de herramientas de robo de datos y monetizaci贸n il铆cita que se caracteriza por infectar proyectos Xcode. Al contaminar plantillas, fases de compilaci贸n o Run Scripts, el ejecutable malicioso se dispara durante la construcci贸n de la app, facilitando la propagaci贸n entre desarrolladores que comparten repositorios y componentes. Hist贸ricamente, esta familia ha explotado vulnerabilidades 0鈥慸ay en el ecosistema Apple para comprometer navegadores y secuestrar sesiones, lo que subraya su capacidad de adaptaci贸n y su preferencia por vectores de cadena de suministro.
Novedades clave del malware XCSSET en macOS
Secuestro del portapapeles y sustituci贸n de direcciones de criptomonedas
La principal innovaci贸n es un m贸dulo que monitoriza el portapapeles de macOS. El c贸digo malicioso compara el contenido copiado por el usuario con patrones de direcciones de redes cripto mediante expresiones regulares. Si hay coincidencia, sustituye el identificador por una direcci贸n controlada por los atacantes, desviando los fondos sin alertas visibles del sistema ni de las carteras afectadas. Dado que las transacciones en la mayor铆a de blockchains son irreversibles, un 煤nico descuido al pegar puede provocar p茅rdidas definitivas.
Exfiltraci贸n desde Firefox con HackBrowserData modificado
La variante desplegada integra una compilaci贸n modificada de HackBrowserData (herramienta de c贸digo abierto), con la que extrae credenciales guardadas, cookies y registros de navegaci贸n de Firefox. Esta capacidad ampl铆a la superficie de robo m谩s all谩 de notas, carteras y otros navegadores ya observados, y facilita el abuso de sesiones web, intercambio de tokens y escalada lateral entre servicios.
Persistencia y evasi贸n: LaunchDaemon y suplantaci贸n de utilidades del sistema
Para permanecer activa tras reinicios, la campa帽a recurre a la creaci贸n de LaunchDaemon que ejecutan el payload desde rutas inusuales como ~/.root. En paralelo, despliega un se帽uelo con nombre System Settings.app en /tmp, aprovechando la confianza del usuario y de algunas herramientas en denominaciones y ubicaciones familiares. Esta combinaci贸n dificulta el an谩lisis manual y eleva la resiliencia del implante frente a controles b谩sicos.
Alcance y respuesta del ecosistema
Microsoft ha observado por ahora una distribuci贸n limitada, aunque con indicios de operaciones dirigidas. Los indicadores recopilados se han compartido con Apple, y la empresa colabora con GitHub para retirar repositorios vinculados, reduciendo la disponibilidad de infraestructura y artefactos maliciosos. Este tipo de coordinaci贸n entre proveedores acelera la interrupci贸n de campa帽as y limita su efecto en la comunidad de desarrollo.
Recomendaciones de mitigaci贸n para macOS y flujos Xcode
Actualiza el entorno con prioridad. Mant茅n al d铆a macOS, Xcode, navegadores y soluciones de seguridad. Activa y verifica Gatekeeper, y favorece apps firmadas y notarizadas. Considera el uso de XProtect/XProtect Remediator y EDR de clase empresarial.
Audita proyectos Xcode. Revisa Build Phases en busca de Run Scripts inesperados, dependencias no justificadas o plantillas alteradas. Aplica control de integridad de repositorios y code review antes de fusionar pull requests.
Supervisa la persistencia. Inspecciona peri贸dicamente /Library/LaunchDaemons y ~/Library/LaunchAgents para detectar referencias a rutas an贸malas (p. ej., ~/.root) o binarios en directorios temporales (/tmp).
Endurece las operaciones cripto. Comprueba los primeros y 煤ltimos caracteres de las direcciones antes de confirmar, utiliza libretas de direcciones o QR de fuentes verificadas y, cuando sea posible, listas blancas de destinatarios.
El desarrollo de XCSSET confirma una tendencia sostenida: los atacantes explotan los procesos de desarrollo y la cadena de suministro como puerta de entrada a macOS. Invertir en higiene de proyectos, controles de arranque y h谩bitos seguros al mover criptoactivos reduce de forma significativa la superficie de ataque. Es un buen momento para reforzar la vigilancia en pipelines de CI/CD, activar telemetr铆a de EDR y formar a los equipos de ingenier铆a en detecci贸n temprana de anomal铆as.
