V roce 2015 začala v Číně obíhat verze Xcode napadená malwarem a aplikace napadené malwarem „XcodeGhost“ se dostaly do App Store. V té době bylo známo více než 50 infikovaných aplikací pro iOS, včetně hlavních aplikací, jako jsou WeChat, NetEase a Didi Taxi, s potenciálním dopadem až 500 milionů uživatelů.
XcodeGhost byl doposud jedním z největších útoků na uživatele iPhonů kvůli počtu zasažených uživatelů iPhone. 128 milionů ovlivněných uživatelů získalo malware stažením více než 2 500 ovlivněných aplikací. Společnost Apple odstranila všechny infikované aplikace z App Store a poskytla vývojářům informace, které jim do budoucna pomohou ověřit Xcode.
