LastPass advierte sobre una campaña continua y generalizada de robo de información dirigida a los usuarios de Apple macOS a través de repositorios falsos de GitHub que distribuyen programas repletos de malware disfrazados de herramientas legítimas.
«En el caso de LastPass, los repositorios fraudulentos redirigieron a las posibles víctimas a un repositorio que descarga el Atómico infostealer malware», investigadores Alex Cox, Mike Kosak y Stephanie Schneider, del equipo de inteligencia, mitigación y escalación de amenazas (TIME) de LastPass dijo .
Además de LastPass, algunas de las herramientas populares suplantadas en la campaña son 1Password, Basecamp, Dropbox, Gemini, Hootsuite, Notion, Obsidian, Robinhood, Salesloft, SentinelOne, Shopify, Thunderbird y TweetDeck, entre otras. Todos los repositorios de GiHub están diseñados para sistemas macOS.
Los ataques implican el uso del envenenamiento por optimización de motores de búsqueda (SEO) para incluir enlaces a sitios maliciosos de GitHub en la parte superior de los resultados de búsqueda en Bing y Google, y luego indicar a los usuarios que descarguen el programa haciendo clic en el botón «Instalar LastPass en MacBook» y redirigirlos a un dominio de página de GitHub.
«Las páginas de GitHub parecen haber sido creadas por varios nombres de usuario de GitHub para evitar las eliminaciones», afirma LastPass.
La página de GitHub está diseñada para llevar al usuario a otro dominio que proporciona Instrucciones al estilo ClickFix para copiar y ejecutar un comando en la aplicación Terminal, lo que resulta en el despliegue del malware Atomic Stealer.
Vale la pena señalar que anteriormente se habían aprovechado campañas similares de Google Ads for Homebrew, patrocinadas con fines malintencionados, para distribuir un dropper de varias etapas a través de un repositorio falso de GitHub que puede ejecutarse, detectar máquinas virtuales o entornos de análisis y decodificar y ejecutar comandos del sistema para establecer una conexión con un servidor remoto, por investigador de seguridad Dhiraj Mishra .
En las últimas semanas, se han detectado actores de amenazas apalancamiento repositorios públicos de GitHub para alojar cargas maliciosas y distribuirlas a través de Amadey, así como emplear compromisos pendientes correspondiente a un repositorio oficial de GitHub para redirigir a los usuarios involuntarios a programas maliciosos.