Cybersecurity -onderzoekers waarschuwen MAC -gebruikers voor een malware -campagne op GitHub. Aanvallers doen zich bezig met vertrouwde bedrijven, die frauduleuze pagina’s gebruiken om een infostealer te distribueren die financiële en persoonlijke gegevens in gevaar brengt. De waarschuwing is afkomstig van LastPass Threat Intelligence, Mitigation en Escalation (Time) analisten. Ze identificeerden eerst twee frauduleuze GitHub -pagina’s op 16 september 2025, onder de gebruikersnaam “Modhopmduck476”, die beweerde LastPass aan te bieden voor Mac -software. Hoewel deze specifieke pagina’s zijn verwijderd, wijst de activiteit op een bredere, evoluerende campagne. De aanvalsketen wordt gestart wanneer een gebruiker op een link klikt met het label “LastPass installeren op MacBook.” Dit activeert een omleiding naar hxxps: //ahoastock825.github.io/.github/LastPass, gevolgd door een andere naar macprograms-pro.com/mac-git-2-download.html. Op deze laatste pagina worden gebruikers geïnstrueerd om een opdracht in de terminal van hun Mac te plakken. De opdracht maakt gebruik van een krulverzoek om een Base64-gecodeerde URL op te halen, die decodeert naar bonoud.com/get3/install.sh. Dit script downloadt een “update” -payload en installeert malware in de temperatuurmap van het systeem. De malware -lading is Atomic Stealer (AMOS), een infontealer die sinds april 2023 actief is en wordt gebruikt door financieel gemotiveerde cybercriminelen. Deze campagne reikt verder dan een enkel merk, waarbij onderzoekers het koppelen aan neprepositories die zich voordoen als bedrijven zoals 1Password, Robinhood, Citibank, Docker, Shopify en Basecamp. Het primaire doel is om gevoelige gebruikersgegevens te stelen, inclusief referenties en financiële informatie. Om hun bereik en doorzettingsvermogen te verbeteren, registreren de aanvallers meerdere GitHub -gebruikersnamen om takedowns te omzeilen. Ze maken ook gebruik van zoekmachineoptimalisatie (SEO) om Google- en Bing -zoekresultaten te manipuleren. Deze techniek duwt de kwaadaardige links naar een hogere rang, waardoor de kans wordt vergroot dat gebruikers die op zoek zijn naar legitieme software naar de frauduleuze pagina’s worden gericht in plaats van officiële downloadsites. LastPass verklaarde dat het de campagne “actief controleert”, werkt aan verwijdering en het delen van indicatoren van compromis om andere organisaties te helpen de dreiging te detecteren. De methode van de aanvallers benadrukt hoe snel frauduleuze repositories kunnen worden vastgesteld op platforms zoals GitHub, afgehaald en vervolgens worden nagebootst onder nieuwe aliassen. Deze cyclische activiteit vormt een aanhoudende beschermingsuitdaging voor dergelijke gemeenschapsgestuurde platforms. Hier zijn enkele aanbevolen veiligheidsmaatregelen om deze risico’s te verminderen:
- Software alleen downloaden van geverifieerde, officiële bronnen.
- Het vermijden van de uitvoering van opdrachten die zijn gekopieerd van onbekende websites.
- MacOS en alle geïnstalleerde software volledig bijgewerkt.
- Antivirussoftware gebruiken die ransomware -bescherming biedt.
- Regelmatige systeemback -ups inschakelen voor gegevensherstel.
- Verblijvend sceptisch over onverwachte links, e-mails en pop-ups.
- Monitoring van officiële adviezen van softwareleveranciers.
- Strong, unieke wachtwoorden gebruiken gecombineerd met tweefactor-authenticatie.
