Microsoft Threat Intelligence kembali mengungkap temuan mengejutkan: varian baru malware XCSSET yang kini menargetkan proyek Xcode, platform utama para pengembang aplikasi Apple dan macOS. Malware ini tidak sekadar menempel pada proyek yang sedang dikembangkan, tetapi juga mampu berjalan otomatis saat proyek tersebut di-build. Dengan kata lain, setiap kali pengembang menjalankan proses compile, malware ini dapat aktif di latar belakang tanpa disadari. Microsoft menegaskan bahwa serangan ini merupakan bentuk evolusi berbahaya yang mengandalkan penyebaran antar-pengembang—karena proyek Xcode sering kali dibagikan untuk kolaborasi. Temuan ini memperkuat pentingnya keamanan ekosistem pengembangan, bahkan di lingkungan Apple yang selama ini dianggap relatif aman.
XCSSET pertama kali teridentifikasi menyerang komunitas pengembang macOS pada tahun 2020. Malware ini mendapat perhatian karena tekniknya yang tidak biasa: ia memanfaatkan proyek Xcode sebagai medium infeksi, menyusup ke file build dan skrip yang dipakai untuk menyusun aplikasi iOS atau macOS, lalu aktif saat proses build dijalankan.
Saat sebuah proyek Xcode yang terinfeksi dibagikan—baik melalui repositori publik, shared drive, atau transfer antar rekan tim—XCSSET berpotensi menyebar otomatis ke lingkungan pengembang lain tanpa disadari. Setelah berhasil menginfeksi, malware ini menanamkan skrip dan komponen berbahaya yang bekerja bersama untuk mengeksfiltrasi data dan memperkuat kehadirannya di sistem korban. Secara ringkas, XCSSET mampu melakukan beberapa aksi berbahaya berikut:
Menurut Microsoft, modus serangan ini sangat berisiko karena berakar pada rantai pasokan (supply chain)—yakni memanfaatkan alat pengembangan yang dipercaya oleh pengembang sendiri sehingga vektor serangan tampak "alami" dan lebih sulit dideteksi. Varian-varian terbaru menunjukkan peningkatan pada teknik stealth, enkripsi, dan obfuskasi, membuat deteksi dan analisis menjadi semakin menantang bagi tim keamanan.
Baca juga: Tantangan Stegomalware IoT dan Solusi Deep Learning
Microsoft dalam laporannya pada September 2025 menemukan bahwa malware XCSSET kini hadir dengan versi baru yang jauh lebih canggih. Varian ini tidak hanya memperluas targetnya, tetapi juga memperkuat cara bertahan dan menyembunyikan diri agar sulit terdeteksi oleh pengembang maupun sistem keamanan.
Varian terbaru XCSSET kini tidak hanya mencuri data dari Safari, tetapi juga menyasar Firefox, termasuk riwayat penelusuran, kata sandi, dan cookie yang tersimpan. Malware ini juga menambahkan modul khusus untuk memantau clipboard—fitur salin-tempel di macOS. Saat mendeteksi pola teks yang menyerupai alamat dompet kripto, XCSSET bisa mengganti alamat tersebut dengan milik pelaku. Akibatnya, pengguna yang menyalin alamat wallet untuk transaksi berisiko mengirimkan uang ke akun penyerang tanpa menyadarinya.
Untuk memastikan dirinya tetap aktif, XCSSET kini menggunakan teknik LaunchDaemon di macOS. Cara ini memungkinkan malware berjalan otomatis setiap kali perangkat dihidupkan kembali. Ia juga menyamar sebagai layanan sistem yang terlihat sah sehingga pengguna tidak curiga dan sulit menghapusnya. Dengan mekanisme ini, XCSSET bisa bertahan lama di komputer korban tanpa terdeteksi.
XCSSET memanfaatkan run-only compiled AppleScript, yaitu skrip yang tidak bisa didekompilasi secara langsung, sehingga menyulitkan peneliti keamanan untuk menganalisis kodenya. Selain itu, malware menggunakan enkripsi AES dan teknik Base64 decoding untuk menyembunyikan komunikasi antara perangkat korban dan server pengendali (C2). Dengan kombinasi ini, aktivitas berbahaya XCSSET menjadi jauh lebih sulit dilacak.
Secara keseluruhan, varian baru ini menunjukkan bagaimana XCSSET terus berevolusi menjadi ancaman yang lebih halus dan berbahaya. Pengembang Xcode disarankan untuk lebih berhati-hati, selalu memverifikasi proyek yang dibuka, dan memastikan sistem keamanannya selalu diperbarui agar terhindar dari infeksi.
Menurut Microsoft, varian terbaru XCSSET masih mengikuti empat tahap proses infeksi (infection chain) seperti versi sebelumnya. Namun, perbedaan terbesarnya muncul pada tahap keempat, di mana fungsi boot() digunakan untuk mengunduh dan menjalankan berbagai modul berbahaya yang membuat malware ini lebih sulit dideteksi. Secara umum, proses infeksinya berlangsung seperti berikut:
Melalui proses ini, XCSSET menyebar dengan memanfaatkan kepercayaan antar-pengembang, terutama saat mereka saling berbagi proyek. Karena berasal dari alat pengembangan yang dipercaya, serangan ini tergolong supply chain attack yang sangat sulit dideteksi—menjadikannya ancaman serius bagi ekosistem pengembangan macOS.
Microsoft menemukan beberapa submodul baru pada varian XCSSET yang membuat malware ini lebih berbahaya: modul-modul tersebut bekerja bersama untuk mencuri data, memantau clipboard, mengambil file, dan memastikan malware tetap aktif di mesin korban.
Modul ini berfungsi sebagai pencuri informasi yang cukup cerdas: pertama ia mengunduh payload bernama bnk (AppleScript yang dikompilasi) dari server penyerang, lalu membaca isi clipboard dan memeriksa aplikasi yang sedang aktif; jika teks di clipboard memenuhi pola alamat dompet kripto atau kriteria lain yang ditentukan, modul ini dapat mengganti isi clipboard dengan alamat milik penyerang dan mengirimkan baik data asli maupun data pengganti itu ke server pengendali dalam bentuk terenkripsi, sehingga pengguna yang tidak curiga bisa tanpa sadar mengirim dana ke alamat yang salah.
Modul ini bekerja dengan mengunduh skrip tambahan dari command-and-control, menyimpannya sementara di folder seperti /tmp/, lalu menjalankan skrip tersebut untuk mencari dan mengekspor file yang dianggap berharga; setelah mengumpulkan data, modul akan mengompres hasilnya dan mengunggahnya ke server penyerang, kemudian menghapus file sementara agar jejaknya sulit dilacak oleh analisis forensik.
Modul ini dirancang agar malware sulit dihapus: ia membuat file tersembunyi seperti ~/.root dan bahkan aplikasi palsu untuk menyamarkan eksekusi, kemudian menyusun berkas plist LaunchDaemon yang tampak sah (sering memakai prefiks yang familiar) dan memasangnya dengan hak istimewa sehingga malware berjalan otomatis saat sistem dinyalakan ulang; selain itu, modul ini juga mencoba menonaktifkan beberapa mekanisme pembaruan keamanan macOS sehingga perangkat tidak mudah menerima patch yang bisa menghilangkan infeksi.
Modul ini menargetkan data browser dengan cara mengunduh sebuah binary yang memanfaatkan alat serupa HackBrowserData, memberi izin eksekusi dan menjalankannya untuk mengekspor artefak seperti kata sandi, cookie, riwayat, dan informasi kartu; hasil ekstraksi dikemas menjadi file ZIP dan diunggah ke server C2, memungkinkan penyerang memperoleh kredensial dan session token dari berbagai browser — bukan hanya Safari tetapi juga Firefox dan browser lain yang didukung.
Ancaman XCSSET terbaru membawa dampak yang cukup serius bagi para pengembang macOS. Serangan ini tidak hanya menargetkan sistem individu, tetapi juga bisa menyebar melalui ekosistem pengembangan yang saling terhubung. Karena memanfaatkan kepercayaan antar-pengembang, satu proyek yang terinfeksi dapat menimbulkan efek berantai terhadap banyak pihak lain. Berikut beberapa risiko utama yang perlu diwaspadai oleh pengembang maupun organisasi.
Ancaman XCSSET menjadi pengingat bahwa keamanan di dunia pengembangan bukan hanya soal kode yang aman, tetapi juga tentang kebiasaan kerja yang waspada. Pengembang perlu selalu memeriksa integritas proyek sebelum digunakan, memperbarui sistem keamanan secara rutin, serta menggunakan alat pendeteksi ancaman agar risiko seperti ini dapat dihindari sejak awal.
Untuk membantu pengembang dan organisasi terhindar dari serangan XCSSET, Microsoft membagikan sejumlah langkah praktis yang dapat diterapkan segera. Langkah-langkah ini berfokus pada pembaruan sistem, pemeriksaan proyek, kewaspadaan terhadap clipboard, serta penerapan perlindungan keamanan yang lebih kuat di perangkat dan jaringan.
Langkah pertama yang paling sederhana tetapi sering diabaikan adalah memastikan semua perangkat dan aplikasi selalu dalam versi terbaru. Pembaruan macOS, Xcode, dan library pihak ketiga biasanya sudah mencakup perbaikan untuk celah keamanan yang bisa dimanfaatkan oleh malware seperti XCSSET. Pastikan pembaruan dilakukan secara rutin, baik secara manual maupun otomatis. Hindari juga menggunakan proyek Xcode yang sumbernya tidak jelas, terutama dari internet atau repositori yang belum diverifikasi.
Sebelum membuka proyek Xcode yang diunduh dari GitHub atau dibagikan oleh rekan, lakukan pemeriksaan terlebih dahulu. Pastikan tidak ada file atau skrip mencurigakan di dalam folder build, seperti file .sh, .scpt, atau .plist yang tidak dikenal. Jika menemukan sesuatu yang tidak biasa, jangan langsung menjalankan proyek tersebut. Periksa isi file atau jalankan pemindaian menggunakan antivirus atau alat keamanan sebelum digunakan di komputer utama.
Clipboard sering menjadi sasaran karena digunakan untuk menyalin data penting seperti alamat dompet kripto atau kata sandi. Sebelum menempelkan (paste) data yang disalin, pastikan isinya tidak berubah. Periksa ulang panjang dan pola teksnya, terutama jika berhubungan dengan transaksi keuangan. Untuk keamanan tambahan, sebaiknya gunakan pengelola kata sandi yang bisa mengisi data secara otomatis tanpa harus melakukan salin-tempel.
Microsoft merekomendasikan penggunaan Microsoft Defender for Endpoint dan SmartScreen pada perangkat macOS. Kedua alat ini dapat mendeteksi dan memblokir aktivitas berbahaya, termasuk koneksi ke server penyerang dan file yang terinfeksi. Defender juga bisa mengarantina file mencurigakan secara otomatis, sehingga risiko penyebaran malware dapat ditekan. Bagi organisasi, pastikan semua perangkat kerja pengembang terlindungi dan terhubung ke sistem pemantauan keamanan yang sama agar ancaman bisa dideteksi sejak dini.
Microsoft juga menyarankan agar pengguna mengaktifkan fitur cloud-delivered protection dan automatic sample submission agar sistem bisa mengenali ancaman baru lebih cepat. Selain itu, aktifkan perlindungan terhadap aplikasi yang tidak diinginkan (PUA protection) untuk mencegah instalasi adware atau skrip berisiko. Fitur network protection juga penting untuk memblokir koneksi ke situs berbahaya yang digunakan pelaku untuk mengendalikan malware.
Baca juga: Fakta Vane Viper: Jaringan Malware Global yang Didukung oleh DNS
Temuan Microsoft tentang malware XCSSET baru yang menyerang Xcode menegaskan bahwa pengembang kini menjadi target utama kejahatan siber. Dengan kemampuan clipboard hijacking, enkripsi tingkat lanjut, dan persistensi berbasis LaunchDaemon, malware ini menunjukkan peningkatan signifikan dibandingkan varian sebelumnya. Langkah cepat Microsoft bersama Apple dan GitHub dalam menonaktifkan repositori terinfeksi patut diapresiasi, tetapi ancaman ini belum berakhir. Pengembang harus tetap waspada, melakukan pemeriksaan proyek secara rutin, dan memanfaatkan alat keamanan seperti Microsoft Defender for Endpoint untuk mencegah infeksi lebih lanjut.