攻击者利用虚假GitHub页面传播Mac恶意软件

威胁行为者正在通过大规模的SEO投毒活动和虚假GitHub仓库向Mac用户分发Atomic信息窃取程序。

新型威胁活动概况

根据LastPass的威胁情报团队（TIME）9月18日发布的博客文章，新兴威胁活动通过针对性SEO投毒攻击Mac用户。攻击者创建冒充合法公司的虚假GitHub页面，近期代码仓库已被用于多起攻击事件，包括Shai-Hulud蠕虫、高产NPM开发者Qix的入侵、Salesloft数据泄露等。

LastPass博客作者Alex Cox、Mike Kosak和Stephanie Schneider指出，威胁行为者发布包含恶意软件的GitHub仓库，声称提供合法软件的MacOS版本，同时利用SEO技术确保虚假仓库在搜索结果中排名靠前。

GitHub Mac攻击细节

LastPass表示该活动已针对科技和金融领域的多家公司，包括LastPass本身。研究人员发现两个GitHub用户创建的虚假仓库，声称提供"MacBook版LastPass高级版"。这些页面使用多个GitHub用户名创建，充斥着MacOS相关术语。

页面包含的下载链接会指示用户将特定代码行粘贴到Mac终端。至少在虚假LastPass页面案例中，该代码会导致下载并执行Atomic信息窃取程序（又称AMOS）。

攻击时间线与历史案例

两个虚假页面于9月16日在GitHub创建，LastPass表示"这些网站已立即提交下架申请，目前均已失效"。此类攻击并非首次出现，LastPass引用7月发布的研究，详细介绍了攻击者在GitHub上声称提供MacOS版Homebrew包管理器的类似社会工程活动。

上月，CrowdStrike详细追踪到名为Cookie Spider的威胁组织活动。该组织试图使用"SHAMOS"（前述Atomic信息窃取程序的变种）入侵300多个客户环境。该活动同样利用恶意广告将窃取程序植入受害者环境。

防护建议

LastPass高级首席情报分析师Kosak指出，攻击者可能将Mac用户视为"低悬果实"，因为"Mac面临较少恶意软件威胁"的错误认知仍然存在。建议组织和用户仅从合法应用商店下载软件，或确认GitHub仓库由相关公司官方管理。

防护信息窃取程序应使用最新防病毒或EDR防护，避免在浏览器中存储凭据等敏感信息，考虑使用密码管理器或其他安全存储方式。