LastPass advierte sobre una campaña continua y generalizada del robador de información dirigida a los usuarios de Apple MacOS a través de repositorios falsos de GitHub que distribuyen programas con malware disfrazados de herramientas legítimas.
“En el caso de LastPass, los repositorios fraudulentos redirigieron a las víctimas potenciales a un repositorio que descarga el malware del infoptealero atómico”, dijeron los investigadores Alex Cox, Mike Kosak y Stephanie Schneider del zaguero equipo de inteligencia de amenazas, mitigación y ascensión (tiempo).
Más allá de LastPass, algunas de las herramientas populares se hacen acaecer por la campaña que incluyen 1Password, Basecamp, Dropbox, Gemini, Hootsuite, Notion, Obsidian, Robinhood, Salesloft, Sentinelone, Shopify, Thunderbird y TweetDeck, entre otros. Todos los repositorios de Gihub están diseñados para apuntar a los sistemas MacOS.
Los ataques implican el uso de la intoxicación de la optimización de motores de búsqueda (SEO) para presionar los enlaces a los sitios maliciosos de GitHub encima de los resultados de búsqueda en Bing y Google, que luego instruyan a los usuarios a descargar el software haciendo clic en el timbre “Instalar el zaguero paso en MacBook”, redirigiendoles un dominio de la página GitHub.
“Las páginas de Github parecen ser creadas por múltiples nombres de adjudicatario de GitHub para desplazar a los derribos”, dijo LastPass.
La página GitHub está diseñada para aceptar al adjudicatario a otro dominio que proporciona instrucciones de estilo ClickFix para copiar y ejecutar un comando en la aplicación Terminal, lo que resulta en la implementación del malware del robador atómico.
Vale la pena señalar que campañas similares se han laborioso previamente los anuncios de Google patrocinados maliciosos para que HomeBrew distribuya un dosificador de varias etapas a través de un repositorio imitado de GitHub que puede ejecutar máquinas virtuales o entornos de descomposición de detección, y decodificar y ejecutar comandos del sistema para establecer la conexión con un servidor remoto, según el investigador de seguridad Dhiraj Mishra.
En las últimas semanas, los actores de amenazas han sido vistos aprovechando los repositorios públicos de GitHub para penetrar cargas aperos maliciosas y distribuirlos a través de Amadey, así como consumir compromisos colgantes correspondientes a un repositorio oficial de GitHub para redirigir a los usuarios involuntarios a programas maliciosos.
