Le malware XCSSET, connu pour son mode d’infection sournois, refait surface dans une version encore plus discrète et résistante. Repéré récemment par Microsoft, ce logiciel malveillant s’infiltre dans des projets Xcode légitimes et se propage silencieusement dans les applications générées, compromettant ainsi les données sensibles des utilisateurs finaux.
XCSSET n’est pas un inconnu dans l’univers macOS. Détecté pour la première fois en 2020, il avait déjà démontré son efficacité en infectant les projets Xcode pour compromettre ensuite les applications développées à partir de ces fichiers. En 2022, il était réapparu avec de nouvelles capacités d’adaptation aux mesures de sécurité d’Apple. Aujourd’hui, en 2025, il revient encore plus furtif et coriace.
Ce malware cible principalement les développeurs et développeuses en s’attaquant directement à leur environnement de travail. Une fois intégré à un projet Xcode, il contamine automatiquement toutes les applications compilées à partir de ce projet. Ces applications deviennent alors des vecteurs d’infection qui, une fois installées sur un mac, permettent à XCSSET d’accéder aux données personnelles des utilisateurs.
Parmi ses capacités, il peut :
• Voler des données de navigation (historique, cookies, identifiants enregistrés).
• Accéder aux messages privés sur des applications comme Telegram.
• Siphonner les identifiants des crypto-wallets.
• Contourner les protections de macOS, notamment en exploitant d’anciennes failles de sécurité comme CVE-2021-30713, qui lui permettait de prendre des captures d’écran sans autorisation.
Si XCSSET était déjà une menace redoutable, cette nouvelle variante repousse encore les limites de l’invisibilité :
✅ Code brouillé et aléatoire : Le malware encode ses scripts de manière aléatoire via Base64 et hexdump, rendant son analyse plus complexe.
✅ Dissimulation des modules : Il change régulièrement les noms de ses fichiers pour éviter d’être repéré par les antivirus.
✅ Techniques d’infection inédites : XCSSET utilise maintenant des méthodes détournées pour s’exécuter à l’insu des utilisateurs.
Parmi les mécanismes de persistance détectés :
🔹 Modification du fichier ~/.zshrc : Cela lui permet de s’exécuter automatiquement à chaque ouverture du Terminal, une ruse bien connue des hackers.
🔹 Détournement du Dock macOS : Le malware remplace le raccourci du Launchpad par une version factice qui lance simultanément le malware et l’application légitime lorsqu’un utilisateur clique dessus. Une technique diabolique qui garantit sa réactivation constante.
🔹 Pour les développeurs Xcode :
• Ne téléchargez jamais aveuglément un projet Xcode trouvé en ligne sans une vérification approfondie.
• Inspectez les fichiers intégrés, notamment les scripts qui s’exécutent à la compilation.
• Méfiez-vous des fichiers cachés ou des modifications inhabituelles dans le projet.
🔹 Pour les utilisateurs finaux :
• Privilégiez l’App Store ou les sites officiels des éditeurs pour télécharger vos applications.
• Vérifiez attentivement les permissions demandées lors de l’installation d’un logiciel.
• Mettez à jour votre macOS et vos logiciels de sécurité régulièrement.
Selon Microsoft, Defender for Endpoint pour macOS détecte et bloque cette nouvelle version de XCSSET. Si vous utilisez une autre solution antivirus, veillez à ce qu’elle soit à jour et capable d’analyser les menaces avancées.
Avec cette nouvelle réapparition, XCSSET démontre une fois de plus la vulnérabilité des environnements de développement et la nécessité pour les développeurs de renforcer leur vigilance. Apple a multiplié les protections sur macOS, mais les cybercriminels trouvent toujours des moyens de les contourner.
Pour éviter de tomber dans le piège, restez informé et adoptez des pratiques sécuritaires strictes.
📢 Pour plus d’actus cybersécurité et tech, suivez TekTek sur nos réseaux !
🔵 Twitter/X : @iam_tektek
🟠 Threads : @iam_tektek
🟢 Chaîne WhatsApp : TekTek sur WhatsApp
🚀 Restez vigilants, restez protégés !
