Исследователи в области кибербезопасности предупреждают пользователей Mac о новой вредоносной кампании, разворачивающейся на платформе GitHub, где злоумышленники представляются надежными компаниями такими как LastPass и 1Password. Поддельные страницы на GitHub, первоначально идентифицированные под именем пользователя "modhopmduck476", перенаправляют пользователей на страницу, где их просят ввести команду в macOS Terminal.
Данная команда выполняет запрос curl для загрузки base64- кодированного URL, который в конечном итоге декодируется до bonoud.com/get3/install.sh, скачивая и устанавливая вредоносный "Обновление" в системный каталог Temp. Загружаемый вредоносный файл идентифицирован как Atomic Stealer (AMOS) — информационная кража, активная с апреля 2023 года, которая крадет учетные данные и финансовую информацию жертв.
Фальшивые репозитории и повышенная эффективность
Злоумышленники также создают поддельные репозитории, выдавая их за компании Robinhood, Citibank, Docker, Shopify и Basecamp. Регистрация множества GitHub аккаунтов и манипуляции с SEO помогают продвижению вредоносных ссылок выше в результатах поиска, увеличивая шанс, что пользователи найдут фальшивые страницы для загрузки вместо официальных сайтов.
LastPass активно отслеживает эту кампанию: компании проводятся работы по удалению этих ссылок и делятся индикаторами компрометации. Рекомендуемые меры предосторожности включают загрузку программного обеспечения только из проверенных официальных источников, избегание выполнения команд, скопированных с незнакомых сайтов, регулярное обновление macOS и приложений, использование антивирусов с защитой от программ-вымогателей, регулярное резервное копирование данных, использование сложных уникальных паролей с двухфакторной аутентификацией, а также постоянный мониторинг официальных уведомлений поставщиков.
