LastPass درباره یک کمپین گسترده و فعال سرقت اطلاعات هشدار داده که کاربران macOS اپل را از طریق مخازن جعلی GitHub هدف قرار میدهد. این مخازن حاوی برنامههای آلودهای هستند که خود را بهعنوان ابزارهای قانونی معرفی میکنند.
محققان تیم Threat Intelligence, Mitigation, and Escalation (TIME) از LastPass (الکس کاکس، مایک کوساک و استفانی اشنایدر) اعلام کردند:
«در مورد LastPass، این مخازن جعلی قربانیان بالقوه را به ریپازیتوریای هدایت میکردند که بدافزار Atomic Infostealer را دانلود میکند.»
اما هدف فقط LastPass نیست. ابزارهای محبوب دیگری هم در این کمپین جعل شدهاند؛ از جمله: 1Password، Basecamp، Dropbox، Gemini، Hootsuite، Notion، Obsidian، Robinhood، Salesloft، SentinelOne، Shopify، Thunderbird، TweetDeck و بسیاری دیگر. همه این ریپازیتوریها بهطور خاص سیستمهای macOS را هدف قرار میدهند.
شیوه حمله به این صورت است که مهاجمان با استفاده از SEO poisoning (آلودهسازی موتور جستجو) لینکهای مخرب GitHub را به بالای نتایج جستجو در Bing و Google میآورند. سپس به کاربر دستور داده میشود که برای دانلود برنامه روی دکمه Install LastPass on MacBook کلیک کند که او را به یک دامنه GitHub هدایت میکند.
LastPass گفته:
«این صفحات GitHub توسط چندین نام کاربری مختلف ساخته میشوند تا از حذف شدن جلوگیری کنند.»
در ادامه، صفحه GitHub قربانی را به دامنه دیگری هدایت میکند که دستورالعملهایی مشابه ClickFix ارائه میدهد. این دستورالعملها کاربر را وادار میکنند دستوری را در Terminal اجرا کند که در نهایت باعث استقرار بدافزار Atomic Stealer روی سیستم میشود.
شایان ذکر است که کمپینهای مشابهی پیشتر از تبلیغات اسپانسرشده مخرب در Google برای Homebrew استفاده کردهاند تا یک dropper چندمرحلهای را از طریق یک مخزن جعلی GitHub توزیع کنند. این دراپر توانایی دارد محیطهای مجازی یا تحلیل را شناسایی کند و پس از آن دستورات سیستمی رمزگشایی و اجرا شده و اتصال با یک سرور راه دور برقرار شود (طبق گفته محقق امنیتی Dhiraj Mishra).
در هفتههای اخیر، بازیگران تهدید همچنین مشاهده شدهاند که از مخازن عمومی GitHub برای میزبانی payloadهای مخرب و توزیع آنها از طریق Amadey استفاده میکنند. علاوه بر این، آنها از dangling commits مرتبط با یک ریپازیتوری رسمی GitHub بهره گرفتهاند تا کاربران بیخبر را به برنامههای آلوده هدایت کنند.
