网络安全研究人员正在警告MAC用户有关GitHub上的恶意软件活动。攻击者模仿受信任的公司,使用欺诈页面来分发一个使财务和个人数据处于危险之中的InfosoStealer。该警告源自LastPass威胁情报,缓解和升级(时间)分析师。他们首先在2025年9月16日以“ modhopmduck476”为单位确定了两个欺诈性的GitHub页面,这些用户名称为Mac Software提供了LastPass。尽管这些特定页面已被删除,但活动表明了一项更广泛的,不断发展的运动。当用户单击标有“ MacBook上的LastPass”的链接时,启动攻击链。这触发了一个重定向到hxxps://ahoastock825.github.io/.github/lastpass,然后是MacPrograms-pro.com/mac-git-2-download.html。在最后一页上,指示用户将命令粘贴到其Mac的终端中。该命令使用卷曲请求获取base64编码的URL,该URL将解码为bonoud.com/get3/install.sh。该脚本下载了“更新”有效负载,将恶意软件安装到系统的温度目录中。恶意软件有效载荷是自2023年4月以来活跃的InfoStealer Atomic Stealer(AMOS),并由经济动机的网络犯罪分子使用。该活动超越了一个品牌,调查人员将其与假冒公司(例如1Password,Robinhood,花旗银行,Docker,Shopify和Basecamp)等伪造的存储库联系起来。主要目的是窃取敏感用户数据,包括凭据和财务信息。为了增强其覆盖范围和持久性,攻击者注册了多个Github用户名以规避撤离。他们还采用搜索引擎优化(SEO)来操纵Google和Bing搜索结果。这项技术将恶意链接推向了更高的等级,增加了搜索合法软件的用户的可能性将被直接用于欺诈性页面,而不是官方下载网站。 LastPass表示,这是“积极监视”该活动,进行撤销工作,并共享妥协的指标,以帮助其他组织检测到威胁。攻击者的方法强调了在Github等平台上可以建立欺诈性存储库的速度,然后取下,然后在新的别名下重新创建。这种周期性的活动对此类社区驱动的平台构成了持续的保护挑战。以下是一些推荐的安全措施来减轻这些风险:
- 仅从经过验证的官方来源下载软件。
- 避免执行从不熟悉的网站复制的命令。
- 使MACOS和所有安装软件都充分更新。
- 使用提供勒索软件保护的防病毒软件。
- 启用常规系统备份以进行数据恢复。
- 仍然对意外链接,电子邮件和弹出窗口持怀疑态度。
- 监视软件供应商的官方咨询。
- 使用强大的独特密码与两因素身份验证结合使用。
