LastPass, Dropbox, Notion. И один большой обман. Хакеры превратили GitHub в магазин вирусов для пользователей macOS

leer en español

LastPass macOS GitHub AMOS Google вирус
LastPass, Dropbox, Notion. И один большой обман. Хакеры превратили GitHub в магазин вирусов для пользователей macOS
LastPass macOS GitHub AMOS Google вирус

Более 100 популярных программ для Mac стали приманкой, вы почти наверняка в зоне риска.

image

Киберпреступники развернули масштабную кампанию против пользователей macOS, маскируя вредоносное ПО под популярные программы. Об этом сообщила компания LastPass, которая обнаружила, что подделке подвергся и её продукт. Распространение осуществляется через фальшивые репозитории GitHub, оптимизированные под поисковики, благодаря чему они оказываются на первых позициях в результатах Google и Bing.

За атакой стоит использование схемы ClickFix: жертве предлагают вставить в терминал команду, якобы для установки приложения. На деле она выполняет curl-запрос к зашифрованному URL и загружает скрипт install.sh в каталог /tmp. Этот файл устанавливает на компьютер троян Atomic Stealer (AMOS). AMOS — это MaaS-инструмент (Malware-as-a-Service), аренда которого стоит $1000 в месяц. Его базовая функция заключается в краже данных с заражённых устройств, но недавно создатели добавили в него бэкдор для скрытого и устойчивого доступа к системе.

По информации LastPass, злоумышленники не ограничиваются копированием одного бренда. Список поддельных программ превышает 100 и включает такие решения, как 1Password, Dropbox, Confluence, Robinhood, Fidelity, Notion, Gemini, Audacity, Adobe After Effects, Thunderbird и SentinelOne. Для обхода блокировок мошенники создают множество фиктивных аккаунтов на GitHub и дублируют там репозитории с кнопкой «Download». Переход по ней ведёт на второстепенный сайт, где размещена инструкция для запуска команды в терминале.

Подобные сценарии для macOS фиксировались и ранее. Ранее сообщалось о копиях Booking.com и о псевдопрограммах для «устранения проблем» в системе, которые распространялись через рекламные объявления. В текущей кампании масштабы заметно выше: автоматизация позволяет оперативно поднимать новые страницы после блокировок.

LastPass подчёркивает, что постоянно отслеживает ситуацию и передаёт жалобы на поддельные проекты в администрацию GitHub, однако угроза остаётся из-за лёгкости создания новых ресурсов.

Специалисты напоминают, что доверять стоит только официальным сайтам разработчиков. Если macOS-версия продукта отсутствует у производителя, «альтернатива» почти наверняка окажется вредоносной. В случаях, когда приложение всё же доступно, важно проверять, чтобы его распространял проверенный источник, а не малоизвестный сторонний ресурс.