猿題庫的 iOS 開發工程師在 9 月 17 日上午 9 點發了一篇微博，微博中描述了他的一位朋友在非官方渠道下載的 Xcode(蘋果軟件開發工具)居然自帶病毒文件，造成的結果是，通過 Xcode 編譯出來的 app 會被注入不知名的第三方代碼，并且向陌生網站發送數據。

哪些APP受到了影響?

網易云音樂

網易公開課

12306移動端

中信銀行動卡空間

下廚房

中國聯通手機營業廳

中國聯通的手機營業廳

高德地圖

簡書

豌豆莢開眼

滴滴出行

51卡保險箱

同花順

中信銀行動卡空間

對用戶有什么影響?

目前來看，在 Xcode 中莫名加入的這段代碼并沒有什么惡意，只是收集部分數據，但是不得不防的是，未來很可能出現更加帶有攻擊性的病毒注入 Xcode，那么對于用戶手機安全，這其中存在巨大的隱患。

XcodeGhost 創新在哪?

與以往的病毒嵌入思路不同，XcodeGhost 直接把病毒代碼嵌入了開發工具源頭，這種另類的傳播方式直接讓其在初期的傳播廣度上獲得了非常好的效果，網易云音樂等熱度 APP 中彈就是很好的證明。

為什么要從第三方下載 Xcode?

歸根結底的原因還是在于國內 App Store 連接速度太慢，許多程序員為了提高效率，方便下載，會直接從各大論壇和網盤上找第三方資源，這就給一些不良少年提供了作案機會的可能性。

始作俑者是誰?

目前烏云網的部分代碼專家查到代碼傳送信息指向到一個網址為： http://init.icloud-analysis.com的假冒網站(冒充蘋果官網)，目前該網站已經關閉。

有用戶舉報始作俑者的網名為「coderfun」，主要以各類 iOS 開發論壇和微博留言區為據點，提供帶有病毒版本的 Xcode 網盤下載地址，其中包括了從 Xcode6.1-Xcode6.4 的所有版本，目前其真身不得人知。

分析人士指出，病毒作者是個老手，并且非常小心，在代碼和服務器上都沒有留下什么痕跡，所以不排除以后還會繼續作案的可能。

目前XcodeGhost還沒有非常嚴重的惡意行為，但是這種病毒傳播方式在iOS上還是首次。

為什么影響巨大?

根據國外網站paloalto的分析，coderfun 所釋放的Xcode dmg文件先是被廣泛發布到了Douban, SwiftMi, CocoaChina, OSChina這幾個論壇網站，然后又再百度云出現了大量下載文件。

不僅如此，還成功感染了迅雷的離線服務器，也就是說，你常用下載軟件是迅雷的話，輸入官網的地址下載下來的 dmg 仍然有可能是被修改過的。

在這我們不得不佩服這個駭客四兩撥千斤的能力。

該如何應對?

目前的許多網友提供了一些針對性的解決方案：

1. 從官方渠道下載 Xcode

2. 程序員開發應該更加嚴謹的使用經過校檢的 Xcode 開發工具

3. 蘋果改善官方 APP Store 連接速度

4. 官方 APP Store 改進 APP 審核機制

進展

網易云音樂已經針對此事發出公告

網友評價

@Alamo aka 狐貍：關于第三方渠道下載 Xcode 夾雜私貨的問題，我有兩句話要說，第一句是：「蘋果公司 App 審核制度過分官僚，如同地鐵安檢，形同虛設。」第二句是：「你的 xcode.dmg 已經簽收，簽收人：草簽」

@bちゃん：針對編譯器的病毒這種東西，我在一本很老舊的計算機病毒防護教材上看到過，也知道有個 tcc 注入 login su 的后門的說法，以為這種病毒費時費力，估計現在沒什么人這么搞了。沒想到還真有人干了這種事情，還是對 Xcode，真是何等喪病。我都開始懷疑是不是國內某些公司的所為了……

@Belleve：這是個處心積慮、策劃多年的騙局，其手法之高明，說明攻擊者要么是經驗豐富的老道黑客，要么就是有專業的黑產公司。不同于年初時候那些依靠力量的攻擊，這個駭客成功地實現了四兩撥千斤，用最少的資源獲取到了最多的隱私資料，而且過了甚久才被察覺。

這次的攻擊絕對可以載入史冊，絕對的。