Les utilisateurs de MacOS sont trompés dans la campagne en cours avec de fausses pages GitHub qui fournissent l’infosteller atomique.
Dans une campagne active et à grande échelle, les attaquants se présentent comme des marques légitimes sur les pages GitHub pour cibler les utilisateurs de MacOS avec le voleur «atomique» de la navire de données.
Selon les résultats récents de Lastpass, qui lui-même a été ciblé dans la campagne, les attaquants utilisent des astuces de référencement pour pousser les pages malveillantes en haut des résultats de la recherche de Bing et Google, attirant les utilisateurs en pensant qu’ils installent un logiciel authentique.
« Cette campagne semble cibler une gamme d’entreprises, notamment des entreprises technologiques, des institutions financières, des gestionnaires de mots de passe, etc. », a déclaré Lastpass dans un article de blog, ajoutant une liste de sociétés ciblées. «Dans le cas de LastPass, les référentiels frauduleux ont redirigé les victimes potentielles vers un référentiel qui télécharge le malware infosélérateur atomique.»
Lastpass a déclaré que dès que les sites frauduleux Github ont été repérés, des demandes de retrait ont été déposées et les pages sont désormais inactives.
Attaque combine un empoisonnement au référencement avec le phishing crosshair
Implémentant une astuce de référencement classique, les attaquants ont enregistré des pages GitHub, qui permet aux développeurs (ou à toute personne disposant d’un compte GitHub) de prendre un référentiel et de le transformer en un site Web en direct gratuitement sous des noms conçus pour correspondre aux noms de l’entreprise plus «Mac» ou «macOS» Terminology, augmentant leur classement dans les résultats de recherche.
Une fois que les utilisateurs ont cliqué sur ces liens, ils sont acheminés par le biais de redirections, d’abord vers une imitation de GitHub Pages, puis vers un site secondaire (par exemple, MacPrograms-pro.com) qui demande à l’utilisateur de coller une commande shell dans le terminal du Mac. Cette commande exécute une demande Curl à une URL codée Base64, qui se résout en un script qui télécharge et exécute la charge utile «mise à jour» – le voleur atomique lui-même.
Selon Lastpass, la division de la chaîne en plusieurs redirections et la mise en tirant des plates-formes légitimes pour l’hébergement initial sont effectuées pour l’évasion. « Notamment, les pages GitHub semblent être créées par plusieurs noms d’utilisateur GitHub pour contourner les retraits », a ajouté le gestionnaire de mots de passe largement utilisé.
Bien que les faux sites GitHub aient été retirés, Lastpass avertit que la campagne est en cours et pourrait toujours constituer une menace importante pour les utilisateurs de MacOS.
Mac dans la réticule
Ce n’est pas la première fois que les adversaires utilisent les résultats de recherche pour livrer le voleur atomique (AMOS). Plus tôt ce mois-ci, une campagne distincte a utilisé Google Ads pour distribuer les logiciels malveillants, qui ont intelligemment activé uniquement les systèmes exécutant des processeurs X64 ou ARM.
L’écosystème de pomme, apprécié pour son large adoption et sa conception fermée, a connu une attention croissante des cybercriminels. Plus tôt cette année, Huntress a découvert une campagne présumée de l’État-nation plantant des logiciels malveillants modulaires et persistants sur MacOS. Un autre cycle d’attaques a exploité Google Meet Click-Fix Lares pour pousser AMOS vers les utilisateurs de Mac.
Ajouter aux malheurs d’Apple est un désabonnement régulier de défauts zéro-jours. La semaine dernière, le géant de Cupertino a corrigé son huitième jour zéro de 2025, dépassant les six patchés en 2024, bien que toujours en dessous des 20 enregistrés en 2023. Chaque nouveau défaut élargit la surface d’attaque pour des campagnes opportunistes et ciblées.
Lastpass a publié une liste d’indicateurs de compromis (IOC), y compris des URL telles que GitHub (.) Com / Lastpass-on-MacBook, Github (.) Com / lastpass-on-macbook / lastpass-prémium-mac-download et ahoastock825 (.) Github (.) Io / .github / lastpass, avec le sha256 de la charge de la SHA256 de la charge de l’atomique.
Ces CIO offrent un point de départ pour que les équipes de sécurité numérisent les journaux, bloquent l’accès ou la chasse au compromis.
