LastPass advierte sobre una campaña continua y generalizada del robador de información dirigida a los usuarios de Apple MacOS a través de repositorios falsos de GitHub que distribuyen programas con malware disfrazados de herramientas legítimas.
«En el caso de LastPass, los repositorios fraudulentos redirigieron a las víctimas potenciales a un repositorio que descarga el malware del infoptealero atómico», dijeron los investigadores Alex Cox, Mike Kosak y Stephanie Schneider del último equipo de inteligencia de amenazas, mitigación y escalada (tiempo).
Más allá de LastPass, algunas de las herramientas populares se hacen pasar por la campaña que incluyen 1Password, Basecamp, Dropbox, Gemini, Hootsuite, Notion, Obsidian, Robinhood, Salesloft, Sentinelone, Shopify, Thunderbird y TweetDeck, entre otros. Todos los repositorios de Gihub están diseñados para apuntar a los sistemas MacOS.
Los ataques implican el uso de la intoxicación de la optimización de motores de búsqueda (SEO) para presionar los enlaces a los sitios maliciosos de GitHub además de los resultados de búsqueda en Bing y Google, que luego instruyan a los usuarios a descargar el programa haciendo clic en el botón «Instalar el último paso en MacBook», redirigiendoles un dominio de la página GitHub.
«Las páginas de GitHub parecen ser creadas por múltiples nombres de usuario de GitHub para desplazar a los derribos», dijo LastPass.
La página GitHub está diseñada para llevar al usuario a otro dominio que proporciona instrucciones de estilo ClickFix para copiar y ejecutar un comando en la aplicación Terminal, lo que resulta en la implementación del malware del robador atómico.
Vale la pena señalar que campañas similares se han aprovechado previamente los anuncios de Google patrocinados maliciosos para que HomeBrew distribuya un gotero de varias etapas a través de un repositorio falso de GitHub que puede ejecutar máquinas virtuales o entornos de análisis de detección, y decodificar y ejecutar comandos del sistema para establecer la conexión con un servidor remoto, según el investigador de seguridad Dhiraj Mishra.
En las últimas semanas, los actores de amenazas han sido vistos aprovechando los repositorios públicos de GitHub para alojar cargas útiles maliciosas y distribuirlos a través de Amadey, así como emplear compromisos colgantes correspondientes a un repositorio oficial de GitHub para redirigir a los usuarios involuntarios a programas maliciosos.