9月17日上午(09:24)，微博用戶@JoeyBlue_ 曝光稱，有開發者用了非官方渠道下載的Xcode編譯出來的應用被注入了第三方的代碼，會向一個網站上傳數據。目前已知兩個知名應用被注入。

[[149701]]

烏云知識庫作者蒸米對注入的病毒樣本“XcodeGhost“進行分析，確認了上述說法。經分析，該病毒會收集應用和系統的基本信息，包括時間、bundle id(包名)、應用名稱、系統版本、語言、國家等，并上傳到init.icloud-analysis.com(該域名為病毒作者申請，用于收集數據信息)。

樣本文件中發現用以收集信息的函數

18日上午，硅谷安全公司Palo Alto跟蹤事件后發現國內知名應用網易云音樂中招，當前App Store上架的網易云音樂***版v2.8.3已經感染病毒，會將手機隱私信息上傳至病毒作者的服務器上(Palo Alto還發現存在更多收集數據的域名)。

烏云建議，使用非官方渠道下載Xcode的iOS開發者請立刻展開自查，并對受影響版本進行處理。我們也會持續關注事件進展。

附檢查方法：

惡意Xcode包含有如下文件“/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService”;正常的Xcode的SDK目錄下沒有Library目錄(來自@JoeyBlue_)

其次，還應該檢測一下Target->Build Setting->Search Paths->Framework Search Paths的設置，看看是否有可疑的frameworks混雜其中(來自蒸米)