LastPass警告称,一场持续且广泛的信息窃取者攻击正在进行,该攻击通过伪造的GitHub仓库针对苹果macOS用户,这些仓库分发的程序含有恶意软件,却伪装成合法工具。
LastPass威胁情报、缓解与升级(TIME)团队的研究人员亚历克斯·考克斯、迈克·科萨克和斯蒂芬妮·施耐德表示:“在LastPass事件中,这些欺诈性仓库将潜在受害者重定向到一个会下载Atomic信息窃取恶意软件的仓库。”
除了LastPass,此次活动中被仿冒的一些热门工具还包括1Password、Basecamp、Dropbox、Gemini、Hootsuite、Notion、Obsidian、Robinhood、Salesloft、SentinelOne、Shopify、Thunderbird和TweetDeck等。所有这些GitHub仓库都旨在针对macOS系统。
这些攻击利用搜索引擎优化(SEO)投毒手段,将指向恶意GitHub网站的链接推至必应和谷歌搜索结果的顶部,然后诱导用户点击“在 MacBook 上安装 LastPass”按钮下载程序,将他们重定向到一个GitHub页面域名。
“这些GitHub页面似乎是由多个GitHub用户名创建的,目的是规避下架,”LastPass表示。
GitHub页面的设计目的是将用户引导至另一个域名,该域名提供类似ClickFix的指令,让用户在终端应用中复制并执行一条命令,最终导致“原子窃取者”恶意软件的部署。
值得注意的是,正如安全研究员Dhiraj Mishra所说,此前曾有类似的攻击活动利用恶意的Google赞助广告针对Homebrew,通过伪造的GitHub仓库分发一种多阶段投放器,这种投放器能够检测虚拟机或分析环境,并解码和执行系统命令以与远程服务器建立连接。
近几周,已发现威胁行为者利用公开的GitHub仓库托管恶意载荷,并通过Amadey进行分发,同时还利用与官方GitHub仓库对应的悬空提交,将不知情的用户重定向至恶意程序。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
