Badacze cyberbezpieczeństwa ostrzegają użytkowników komputerów Mac przed kampanią złośliwego oprogramowania na GitHub. Atakerzy podszywają się pod zaufane firmy, wykorzystując fałszywe strony do dystrybucji infostealera, który naraża dane finansowe i osobowe. Ostrzeżenie pochodzi z analityków o zagrożeniach LastPass, łagodzenia i eskalacji (czasu). Po raz pierwszy zidentyfikowali dwie fałszywe strony GitHub 16 września 2025 r., Pod nazwą użytkownika „Modhopmduck476”, które rzekomo oferowały LastPass dla oprogramowania Mac. Podczas gdy te konkretne strony zostały usunięte, aktywność wskazuje na szerszą, rozwijającą się kampanię. Łańcuch ataku jest inicjowany, gdy użytkownik kliknie link oznaczony jako „Zainstaluj LastPass na MacBook”. To powoduje przekierowanie do hxxps: //ahoastock825.github.io/.github/lastpass, a następnie kolejna do MacPrograms-pro.com/mac-Git-2-download.html. Na tej ostatniej stronie użytkownicy są instruowani, aby wkleić polecenie w terminalu komputera Mac. Polecenie używa żądania Curl, aby pobrać adres URL kodowania Base64, który dekoduje na bonoud.com/get3/install.sh. Ten skrypt pobiera ładunek „aktualizacji”, instalując złośliwe oprogramowanie w katalogu tymczasowym systemu. Ładunek złośliwego oprogramowania jest Atomic Crader (AMOS), infostealer aktywny od kwietnia 2023 r. I używany przez cyberprzestępcy motywowane finansowo. Ta kampania wykracza poza jedną markę, a śledczy łączą ją z fałszywymi repozytoriami podszywającymi się pod firmami takimi jak 1Password, Robinhood, Citibank, Docker, Shopify i Basecamp. Głównym celem jest kradzież poufnych danych użytkownika, w tym poświadczeń i informacji finansowych. Aby zwiększyć swój zasięg i wytrwałość, atakujący rejestrują wiele nazw użytkowników Github, aby obejść usunięcie. Stosują również optymalizację wyszukiwarek (SEO) do manipulowania wyników wyszukiwania Google i Bing. Ta technika przesuwa złośliwe linki do wyższej rangi, zwiększając prawdopodobieństwo, że użytkownicy szukający legalnego oprogramowania będą skierowani na fałszywe strony zamiast oficjalnych stron pobierania. LastPass stwierdził, że „aktywnie monitoruje” kampanię, pracuje nad usunięciem i dzielenie się wskaźnikami kompromisu, aby pomóc innym organizacjom w wykrywaniu zagrożenia. Metoda atakujących podkreśla, w jaki sposób szybko oszukańcze repozytoria można ustanowić na platformach takich jak GitHub, zdejmowane, a następnie odtwarzane pod nowymi aliasami. Ta cykliczna działalność stanowi trwałe wyzwanie ochrony takich platform opartych na społeczności. Oto kilka zalecanych środków bezpieczeństwa w celu ograniczenia tych ryzyka:
- Pobieranie oprogramowania tylko z zweryfikowanych, oficjalnych źródeł.
- Unikanie wykonywania poleceń skopiowanych z nieznanych stron internetowych.
- Utrzymanie macOS i całego zainstalowanego oprogramowania w pełni aktualizowane.
- Korzystanie z oprogramowania antywirusowego, które zapewnia ochronę oprogramowania ransomware.
- Włączanie regularnych kopii zapasowych systemu w celu odzyskiwania danych.
- Pozostałe sceptyczne dla nieoczekiwanych linków, e-maili i wyskakujących okienków.
- Monitorowanie oficjalnych porad od dostawców oprogramowania.
- Korzystanie z mocnych, unikalnych haseł w połączeniu z uwierzytelnianiem dwuskładnikowym.
