Разработчики LastPass предупреждают, что злоумышленники нацелились на пользователей macOS и имитируют популярные продукты, распространяя инфостилеры через GitHub.
Хакеры создают на GitHub фальшивые репозитории, якобы предоставляющие софт для macOS от известных компаний, и применяют SEO, чтобы ссылки на такие репозитории отображались в топе поисковой выдачи.
«В случае с LastPass поддельные репозитории перенаправляли потенциальных жертв в репозиторий, который содержал вредоносное ПО Atomic infostealer», — предупреждают в LastPass.
Создатели популярного менеджера паролей обнаружили на GitHub два репозитория, опубликованные 16 сентября 2025 года и имитировавшие LastPass. В настоящее время они уже удалены с платформы.
Обе подделки разместил пользователь с ником modhopmduck476, и репозитории содержали ссылки, якобы позволяющие установить LastPass на MacBook. На самом деле эти ссылки вели на одну и ту же вредоносную страницу. Страница, предлагала пользователям LastPass Premium для MacBook и перенаправляла жертв на macprograms-pro[.]com, где пользователей убеждали скопировать и вставить команду в окно терминала.
Команда инициировала CURL-запрос к закодированному URL, в результате чего пейлоад Update загружался в директорию Temp. То есть злоумышленники использовали классическую атаку типа ClickFix, которая строится на социальной инженерии и том факте, что жертва не понимает, что скопированная команда сделает в ее системе.
В роли полезной нагрузки выступал инфостилер Atomic для macOS (он же AMOS), который используется злоумышленниками с 2023 года и недавно обзавелся компонентом-бэкдором.
По информации исследователей, эта кампания длится как минимум с июля. Помимо LastPass мошенники маскировались под финансовые учреждения, менеджеры паролей, известные технологические компании, ИИ-инструменты, криптокошельки и так далее. Так, мошенники использовали узнаваемость 1Password, Dropbox, Confluence, Robinhood, Fidelity, Notion, Gemini, Audacity, Adobe After Effects, Thunderbird и SentinelOne.
Чтобы избежать обнаружения, хакеры использовали множество GitHub-аккаунтов для создания других поддельных страниц, которые следовали схожему паттерну именования (содержали название целевого бренда и упоминания Mac).
