LastPass安全研究人员发现,一场针对macOS用户的大规模恶意软件活动正通过欺诈性GitHub仓库展开。
威胁行为者冒充包括LastPass在内的数十家知名公司,分发名为Atomic stealer(AMOS) 的强大信息窃取恶意软件,旨在窃取敏感数据。
据LastPass披露,攻击者利用搜索引擎优化(SEO)技术,将恶意GitHub Pages推至谷歌、必应等平台搜索结果顶部。这些页面谎称提供来自可信厂商的合法macOS软件,用户访问后会被重定向至一系列恶意网站,最终通过伪装的安装脚本交付Atomic stealer。
攻击链始于用户搜索热门软件的macOS版本(如LastPass或1Password)。若点击伪造GitHub页面,用户会被重定向至第二个恶意站点,该站点诱导用户运行终端命令,通过curl下载base64编码的脚本。执行后,脚本会将名为“Update”的payload下载到系统临时目录,而这实际上就是AMOS恶意软件。
AMOS恶意软件至少自2023年4月起活跃,是商业可用的恶意软件家族,常被经济动机驱动的威胁者使用。它能从受感染系统中提取凭证、加密货币钱包信息、浏览器自动填充数据和文件。此次针对macOS的攻击标志着苹果系统定向网络犯罪的升级——历史上macOS恶意软件数量一直落后于Windows。
攻击规模显著:LastPass已识别出模仿超100家公司的欺诈GitHub仓库,涵盖密码管理器(如LastPass、1Password)、加密货币应用(如Blue Wallet、Bitpanda)、金融机构(如嘉信理财、花旗银行、富达投资)、生产力工具(如Notion、Obsidian、Basecamp)及创意软件(如DaVinci Resolve、After Effects、Audacity)。攻击者通过创建多个GitHub账户逃避下架,旧页面被移除后会迅速部署新的仿冒页面。
LastPass确认其品牌也被冒充,2025年9月16日,用户“modhopmduck476”创建了两个伪造GitHub Pages。这些页面已被及时举报并下架,但攻击者持续创建新页面的能力使风险长期存在。
LastPass在报告末尾分享了完整的威胁指标(IoC)列表,包括恶意GitHub仓库及用于重定向和payload投递的URL,以助力检测与防御。
发表评论
您还未登录,请先登录。
登录