9 月 23 日消息,科技媒体 bleepingcomputer 昨日(9 月 22 日)发布博文,报道称密码管理工具 LastPass 最新示警,称近期有黑客在 GitHub 上伪装热门软件(包括 LastPass、1Password、Dropbox 等),诱骗 macOS 用户安装含有 Atomic(AMOS)窃密恶意软件的假应用。
援引博文介绍,这些假应用冒充超过 100 款知名产品,包括密码管理器 LastPass 和 1Password、云服务 Dropbox、金融应用 Robinhood 等。
攻击者通过搜索引擎优化(SEO)技术,让这些伪造仓库在 Google 和 Bing 的搜索结果中排名靠前,从而提高诱骗成功率。
假应用会通过 ClickFix 攻击方式,安装 Atomic macOS Stealer(AMOS)恶意软件。AMOS 是一种“恶意软件即服务”,租金约为每月 1000 美元(现汇率约合 7115 元人民币),专门窃取感染设备上的敏感数据。近期其开发者还加入了后门功能,让攻击者能够长期、隐秘地访问受害系统,进一步扩大威胁范围。
攻击者通过多个 GitHub 账户,并为了规避平台下架措施,创建大量虚假仓库。这些仓库页面通常包含一个“下载”按钮,点击后会跳转到二级 ,并提示用户在终端中粘贴命令完成安装。
该命令会向一个经过 base64 编码的 URL 发出 curl 请求,将 AMOS 的安装脚本(install.sh)下载到临时目录 / tmp 中,从而完成感染过程。
该媒体指出,尽管 LastPass 持续监控并向 GitHub 举报虚假仓库,攻击者仍可利用自动化手段快速创建新的钓鱼页面。用户应避免运行不明命令,并优先从最新渠道下载软件;若某软件无 macOS 版本,几乎可以确定非手机游戏本是伪造的。
