LastPass, Apple MacOS kullanıcılarını, meşru araçlar olarak maskelenen kötü amaçlı yazılımlara bağlı programları dağıtan sahte GitHub depoları aracılığıyla hedefleyen, devam eden, yaygın bir bilgi çalma kampanyasının uyarısıdır.
Araştırmacılar Alex Cox, Mike Kosak ve Stephanie Schneider, “LastPass durumunda, hileli depolar potansiyel kurbanları atomik infostealer kötü amaçlı yazılımları indiren bir depoya yönlendirdi.” Dedi.
LastPass’ın ötesinde, kampanyada taklit edilen popüler araçlardan bazıları 1Password, Basecamp, Dropbox, Gemini, Hootsuite, Notion, Obsidian, Robinhood, Salesloft, Sentinelone, Shopify, Thunderbird ve TweetDeck’i içeriyor. Tüm Gihub depoları MacOS sistemlerini hedeflemek için tasarlanmıştır.
Saldırılar, Bing ve Google’daki arama sonuçlarının üstünde kötü amaçlı github sitelerine bağlantıları bastırmak için Arama Motoru Optimizasyonu (SEO) zehirlenmesinin kullanımını içerir, bu da kullanıcılara “MacBook’a LastPass’ı yükleme” düğmesini tıklatarak programı indirme talimatını verir.
LastPass, “GitHub sayfaları, yayından kaldırma için birden fazla GitHub kullanıcı adı tarafından oluşturuluyor gibi görünüyor.” Dedi.
GitHub sayfası, kullanıcıyı terminal uygulamasında bir komutu kopyalamak ve yürütmek için ClickFix tarzı talimatlar sağlayan başka bir etki alanına götürmek üzere tasarlanmıştır ve bu da Atomic Stealer kötü amaçlı yazılımlarının dağıtılmasına neden olur.
Benzer kampanyalar, daha önce Homebrew için çok aşamalı bir damlalık dağıtmak için sanal makineleri veya analiz ortamlarını algılayabilen ve bir uzak sunucu ile bağlantı kurmak ve yürütme, güvenlik araştırmacısı Dhiraj Mishra’yı çözmek ve yürütmek için çok aşamalı bir damlalık dağıtmak için daha önce kullanılmıştır.
Son haftalarda, tehdit aktörleri, kötü niyetli yüklere ev sahipliği yapmak ve Amadey aracılığıyla dağıtmak için kamu Github depolarından yararlanmanın yanı sıra, istenmeyen kullanıcıları kötü niyetli programlara yönlendirmek için resmi bir GitHub deposuna karşılık gelen sarkan taahhütleri istihdam ettiler.