Tìm kiếm

LastPass cảnh báo về kho lưu trữ giả mạo lây nhiễm macOS bằng Atomic Infostealer

LastPass cảnh báo về kho lưu trữ giả mạo lây nhiễm macOS bằng Atomic Infostealer

Tác giả Starlink, T.Chín 20, 2025, 09:00:02 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Tạo trang in
Xuống cuối trang Trang1
User actions
T.Chín 20, 2025, 09:00:02 CHIỀU
LastPass cảnh báo về một chiến dịch đánh cắp thông tin đang diễn ra và lan rộng nhắm vào người dùng Apple macOS thông qua các kho lưu trữ GitHub giả mạo, phân phối các chương trình chứa phần mềm độc hại ngụy trang thành các công cụ hợp pháp.

Các nhà nghiên cứu Alex Cox, Mike Kosak và Stephanie Schneider từ nhóm Tình báo, giảm thiểu và leo thang mối đe dọa LastPass (TIME) cho biết : "Trong trường hợp của LastPass, các kho lưu trữ gian lận đã chuyển hướng các nạn nhân tiềm năng đến một kho lưu trữ tải xuống phần mềm độc hại đánh cắp thông tin Atomic ".


Ngoài LastPass, một số công cụ phổ biến bị mạo danh trong chiến dịch này bao gồm 1Password, Basecamp, Dropbox, Gemini, Hootsuite, Notion, Obsidian, Robinhood, Salesloft, SentinelOne, Shopify, Thunderbird và TweetDeck, cùng nhiều công cụ khác. Tất cả các kho lưu trữ GiHub đều được thiết kế để nhắm mục tiêu đến các hệ thống macOS.

Các cuộc tấn công liên quan đến việc sử dụng công cụ Tối ưu hóa công cụ tìm kiếm (SEO) để đưa các liên kết đến các trang GitHub độc hại lên đầu kết quả tìm kiếm trên Bing và Google, sau đó hướng dẫn người dùng tải xuống chương trình bằng cách nhấp vào nút "Cài đặt LastPass trên MacBook", chuyển hướng họ đến tên miền trang GitHub.

LastPass cho biết: "Các trang GitHub có vẻ như được tạo bởi nhiều tên người dùng GitHub để tránh bị gỡ bỏ".

Trang GitHub được thiết kế để đưa người dùng đến một miền khác cung cấp hướng dẫn theo kiểu ClickFix để sao chép và thực thi lệnh trên ứng dụng Terminal, dẫn đến việc triển khai phần mềm độc hại Atomic Stealer.

Theo nhà nghiên cứu bảo mật Dhiraj Mishra, điều đáng chú ý là các chiến dịch tương tự trước đây đã được Google Ads tài trợ độc hại cho Homebrew để phân phối một chương trình thả mã độc nhiều giai đoạn thông qua kho lưu trữ GitHub giả mạo có thể chạy để phát hiện máy ảo hoặc môi trường phân tích, giải mã và thực thi các lệnh hệ thống để thiết lập kết nối với máy chủ từ xa.

Trong những tuần gần đây, các tác nhân đe dọa đã bị phát hiện lợi dụng kho lưu trữ GitHub công khai để lưu trữ các phần mềm độc hại và phân phối chúng thông qua Amadey, cũng như sử dụng các cam kết tạm thời tương ứng với kho lưu trữ GitHub chính thức để chuyển hướng người dùng không hay biết đến các chương trình độc hại.
Tạo trang in
Lên đầu trang Trang1
User actions

LastPass cảnh báo về kho lưu trữ giả mạo lây nhiễm macOS bằng Atomic Infostealer