第一种漏洞利用是通过数据保险库行为中的错误窃取Cookie的

该恶意软件可以感染Xcode项目，在Safari和其他浏览器上进行UXSS攻击。该恶意软件使用零时差攻击，并且可以窃取敏感数据，例如用户的登录数据。根据趋势科技博客文章，发现了与Xcode开发人员项目相关的不寻常感染。专家确定开发人员的Xcode项目包含源恶意软件，并且在他们的进一步调查过程中，还发现了两个零日漏洞。

第一种漏洞利用是通过数据保险库行为中的错误窃取Cookie的，另一种漏洞是滥用AppleSafari的开发人员版本的。这种情况被描述为不寻常的情况，其中恶意代码被注入到本地Xcode项目中，导致代码在构建项目时执行。对于Xcode开发人员来说，这是一个特别的风险。

由于已经确定受影响的开发人员在Github上共享了他们的项目，因此威胁越来越大，从而导致在自己的项目中使用存储库的用户遭受类似于供应链的攻击。在VirusTotal等来源中也发现了这种危险，这意味着该威胁存在于Internet的“狂野”中。

它主要通过Xcode项目和由恶意软件创建的经过恶意修改的应用程序进行传播。目前尚不清楚威胁最初是如何渗透到系统中的。这些系统可能主要由开发人员使用。Xcode项目已进行了修改，以使它们在创建项目时执行恶意代码。

凭据，帐户和其他敏感数据可能会从受感染的用户那里窃取。例如，漏洞利用可以通过Safari窃取用户数据。该恶意软件可以获取用户当前屏幕的屏幕快照，将文件从受影响的计算机上传到攻击者的服务器，对文件进行加密并要求赎金。

为避免这种风险，趋势科技建议仅从官方应用程序市场下载应用程序，并使用多层安全解决方案。

标签：

免责声明：免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！