LastPass 警告：虚假存储库可能通过 Atomic Infostealer 感染 macOS

LastPass 警告称，一场针对 Apple macOS 用户的信息窃取活动正在进行中，该活动通过虚假的 GitHub 存储库分发伪装成合法工具的恶意软件程序。

LastPass 威胁情报、缓解和升级 (TIME) 团队的研究人员 Alex Cox、Mike Kosak 和 Stephanie Schneider表示：“在 LastPass 案例中，欺诈性存储库将潜在受害者重定向到下载Atomic信息窃取恶意软件的存储库。”

除了 LastPass 之外，此次攻击活动中模仿的一些流行工具还包括 1Password、Basecamp、Dropbox、Gemini、Hootsuite、Notion、Obsidian、Robinhood、Salesloft、SentinelOne、Shopify、Thunderbird 和 TweetDeck 等。所有 GiHub 存储库均针对 macOS 系统设计。

这些攻击涉及使用搜索引擎优化 (SEO) 中毒，将指向恶意 GitHub 网站的链接推送到 Bing 和 Google 的搜索结果顶部，然后指示用户通过单击“在 MacBook 上安装 LastPass”按钮下载该程序，并将他们重定向到 GitHub 页面域。

LastPass 表示：“GitHub 页面似乎是由多个 GitHub 用户名创建的，目的是绕过删除措施。”

DFIR 保留服务
GitHub 页面旨在将用户带到另一个域，该域提供ClickFix 风格的指令来复制和执行终端应用程序上的命令，从而部署 Atomic Stealer 恶意软件。

值得注意的是，安全研究员 Dhiraj Mishra 表示，类似的活动之前曾利用恶意赞助的 Google Ads for Homebrew 通过虚假的 GitHub 存储库分发多阶段植入程序，该存储库可以运行检测虚拟机或分析环境，并解码和执行系统命令以与远程服务器建立连接。

最近几周，我们发现威胁行为者利用公共 GitHub 存储库托管恶意负载并通过 Amadey 分发它们，以及使用与官方 GitHub 存储库相对应的悬空提交将不知情的用户重定向到恶意程序。