LastPass 警告 GitHub 骗局感染 Mac
网络犯罪分子正在加大对 Mac 用户的攻击力度,使用虚假的 GitHub 存储库来传播伪装成合法应用程序的恶意软件。
LastPass(一款在线存储加密密码的免费增值密码管理器)的安全研究人员发现了这一广泛传播的活动,该活动冒充来自 LastPass、1Password、Dropbox、Notion、Robinhood、Adobe After Effects 甚至花旗银行等知名公司和应用程序。
该计划的核心是 Atomic Stealer(也称为 AMOS),这是一款自 2023 年以来一直在传播的恶意软件。它是不断发展的“恶意软件即服务”经济的一部分,使得网络犯罪分子无需深厚的技术专业知识即可轻松发起活动。
安装后,它可以从受害者的 Mac 上获取密码、保存的浏览器 cookie、加密钱包密钥、银行凭证和其他敏感数据,这些数据可能会被出售或用于欺诈。
骗局是如何运作的
攻击者创建看起来像 macOS 官方软件下载的 GitHub 页面,通常使用“Install on MacBook”或“Premium for Mac”等关键字精心命名,以使它们看起来值得信赖。
为了引诱受害者,网络犯罪分子使用积极的搜索引擎优化 (SEO) 将这些恶意页面推到 Google 和 Bing 搜索结果的顶部。
任何寻找这些应用程序的 Mac 版本的人可能会在没有意识到的情况下轻松点击其中一个虚假链接。单击这些下载链接会将用户发送到另一个站点,并告知他们将命令复制并粘贴到 Mac 终端中以安装该应用程序。该命令会默默地引入 AMOS 恶意软件并安装它,通常伪装成“更新”。
LastPass 表示,该活动依赖于“ClickFix”社会工程技巧——促使用户快速遵循技术说明,而不了解幕后发生的情况。
LastPass 回应
LastPass 报告称,本月早些时候发现至少两个 GitHub 页面冒充其自己的 Mac 应用程序。两者都在被标记后被删除,但攻击者正在积极创建多个帐户,以保持领先地位。
LastPass 威胁情报、缓解和升级 (TIME) 团队总监 Alex Cox 表示:“我们迅速采取行动,识别并报告了冒充 LastPass 的欺诈性 GitHub 页面,这些页面现已被删除。我们将继续监控这一活动,并与行业合作伙伴合作破坏其基础设施。”
该公司公布了一份名单妥协指标 (IoC)— 包括恶意 URL 和文件哈希列表 — 帮助发现攻击并阻止相关威胁。
用户应该做什么
安全专家表示,最安全的做法是仅从官方供应商网站或 Mac App Store 下载应用程序。其他提示包括:
- 不要相信您不熟悉的 GitHub 存储库。
- 避免运行终端命令,除非它们来自经过验证的可信来源。
- 使用最新的防病毒或端点安全工具,即使恶意软件被执行,也可以捕获可疑行为。
外卖
该活动表明,受信任的平台(在本例中为 GitHub 和 Google 搜索结果)是多么容易被滥用。如果您怀疑自己下载了这些虚假应用程序之一,请将您的密码和财务数据视为已泄露。立即更改您的凭据,检查您的财务和加密帐户是否存在可疑活动,并在您的 Mac 上运行全面的安全扫描。
