Kötü şöhretli Atomik Stealer kötü amaçlı yazılımları MacOS kullanıcılarına dağıtmak için GitHub sayfalarından yararlanan sofistike bir siber saldırı kampanyası.
Bu operasyonun arkasındaki tehdit aktörleri, Google ve Bing de dahil olmak üzere, teknoloji şirketlerinden, finansal kurumlardan ve şifre yönetimi hizmetlerinden meşru yazılım arayan kullanıcıları hedefleyen önemli platformlar arasında kötü niyetli depoları konumlandırmak için arama motoru optimizasyonu (SEO) tekniklerinden yararlanıyor.
Kampanya, siber suçluların resmi yazılım distribütörleri olarak maskelenen hileli Github depoları yarattığı çok katmanlı bir yaklaşım gösteriyor.
Mağdurlar belirli uygulamaları aradıklarında, zehirlenmiş arama sonuçları onları meşru yazılım yükleyicileri gibi görünen kötü amaçlı GitHub sayfalarına yönlendirir.
LastPass Tehdit İstihbaratı, Azaltma ve TIME (TIME) ekibi, her ikisi de 16 Eylül 2025’te “Modhopmduck476” kullanıcısı tarafından oluşturulan müşterilerini hedefleyen iki hileli depo keşfettikten sonra bu tehdidi tanımladı.
Atomik Stealer kampanyası MacOS kullanıcılarını hedefliyor
Saldırı zinciri, kurbanların SEO zirveli arama sonuçları aracılığıyla kötü niyetli github sayfalarla karşılaşmasıyla başlar.
Bu depolar aldatıcı “kurulum içerir [Company] Macbook’ta ”kullanıcıları ikincil evreleme sitelerine yönlendiren bağlantılar.
LastPass davasında kurbanlar hxxps: // ahoastock825’e yönlendirildi[.]zımpara[.]IO/.Github/LastPass, daha sonra onları MacPrograms-Pro’ya ileten[.]com/mac-git-2-download.html.
İkincil site, kullanıcılara Base64 kodlu bir URL’ye kıvrılma isteği gerçekleştiren bir terminal komutu yürütmelerini söyler.
Bu kodlanmış URL Bonoud’a karar verir[.]Com/get3/install.sh, geçici dizine “güncelleme” sistem olarak gizlenen kötü amaçlı yükü indirir.
İndirilen dosya aslında Nisan 2023’ten beri siber suçlu çevrelerde aktif olan AMOS kötü amaçlı yazılım olarak da bilinen Atomic Stealer kötü amaçlı yazılımdır.
Atomik Stealer, MacOS ortamları için özel olarak tasarlanmış sofistike bir bilgi çalma tehdidini temsil eder.
Kötü amaçlı yazılım, şifreler, tarayıcı çerezleri, kripto para birimi cüzdan bilgileri ve sistem kimlik bilgileri dahil olmak üzere hassas verileri hasat edebilir.
Kurulduktan sonra, enfekte olmuş sistem üzerinde kalıcılık oluşturur ve çalınan verileri eklemek için komut ve kontrol (C2) sunucuları ile iletişim kurar.
Tehdit aktörleri, yayından kaldırma çabalarını atlatmak için birden fazla GitHub kullanıcı adı oluşturarak operasyonel esneklik gösterdiler.
Bu dağıtılmış yaklaşım, bireysel depolar rapor edildiğinde ve kaldırıldığında bile kötü niyetli altyapılarını korumalarını sağlar.
Kampanyanın kapsamı LastPass’ın ötesine uzanıyor ve güvenlik araştırmacıları, aynı taktik ve teknikler (TTPS) aracılığıyla çeşitli teknoloji şirketlerini ve finans kurumlarını hedefleyen benzer saldırıları tanımlıyor.
LastPass, belirlenen kötü amaçlı depoların yayından kaldırılmasını başarıyla koordine etti ve ek tehditler için izlemeye devam ediyor.
Şirket, macOS kullanıcılarına arama sonuçları aracılığıyla yazılım indirirken dikkatli olmalarını ve terminal komutlarını yürütmeden veya gayri resmi kaynaklardan uygulamalar yüklemeden önce depoların özgünlüğünü her zaman doğrulamalarını tavsiye eder.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
