LastPass advierte sobre una campaña continua y generalizada del robador de información dirigida a los usuarios de Apple MacOS a través de repositorios falsos de GitHub que distribuyen programas con malware disfrazados de herramientas legítimas.
«En el caso de LastPass, los repositorios fraudulentos redirigieron a las víctimas potenciales a un repositorio que descarga el Atómico Malware de InfoTealer, «Investigadores Alex Cox, Mike Kosak y Stephanie Schneider del último equipo de inteligencia de amenazas, mitigación y escalada (tiempo) dicho.
Más allá de LastPass, algunas de las herramientas populares se hacen pasar por la campaña que incluyen 1Password, Basecamp, Dropbox, Gemini, Hootsuite, Notion, Obsidian, Robinhood, Salesloft, Sentinelone, Shopify, Thunderbird y TweetDeck, entre otros. Todos los repositorios de Gihub están diseñados para apuntar a los sistemas MacOS.
Los ataques implican el uso de la intoxicación de la optimización de motores de búsqueda (SEO) para presionar los enlaces a los sitios maliciosos de GitHub además de los resultados de búsqueda en Bing y Google, que luego instruyan a los usuarios a descargar el programa haciendo clic en el botón «Instalar el último paso en MacBook», redirigiendoles un dominio de la página GitHub.
«Las páginas de GitHub parecen ser creadas por múltiples nombres de usuario de GitHub para desplazar a los derribos», dijo LastPass.
La página de Github está diseñada para llevar al usuario a otro dominio que proporciona Instrucciones de estilo ClickFix Copiar y ejecutar un comando en la aplicación Terminal, lo que resulta en la implementación del malware del robador atómico.
Vale la pena señalar que campañas similares se han aprovechado previamente los anuncios de Google patrocinados por maliciosos para que Homebrew distribuya un gotero de varias etapas a través de un repositorio de GitHub falso que puede ejecutar máquinas virtuales de detección o entornos de análisis, y decodificar y ejecutar comandos del sistema para establecer la conexión con un servidor remoto, PER, PER, PER Investigador de seguridad Dhiraj Mishra.
En las últimas semanas, se han visto actores de amenaza apalancamiento Repositorios públicos de GitHub para organizar cargas útiles maliciosas y distribuirlas a través de Amadey, así como Emplear Comprometes colgantes correspondiente a un repositorio oficial de GitHub para redirigir a los usuarios involuntarios a programas maliciosos.
Fuente