Os pesquisadores de segurança cibernética estão alertando os usuários de Mac sobre uma campanha de malware no GitHub. Os invasores representam empresas confiáveis, usando páginas fraudulentas para distribuir um Infotealer que coloca em risco dados financeiros e pessoais. O aviso se origina dos analistas de inteligência, mitigação e escalação do LastPassa ameaças (tempo). Eles primeiro identificaram duas páginas fraudulentas do Github em 16 de setembro de 2025, sob o nome de usuário “Modhopmduck476”, que pretendia oferecer o software LastPass para Mac. Embora essas páginas específicas tenham sido removidas, a atividade aponta para uma campanha mais ampla e em evolução. A cadeia de ataques é iniciada quando um usuário clica em um link rotulado como “Install LastPass no MacBook”. Isso desencadeia um redirecionamento para hxxps: //ahoastock825.github.io/.github/lastpass, seguido por outro para macprograms-pro.com/mac-git-2-wload.html. Nesta página final, os usuários são instruídos a colar um comando no terminal do MAC. O comando usa uma solicitação de curl para buscar um URL codificado por Base64, que decodifica para Bonoud.com/get3/install.sh. Este script baixa uma carga útil de “atualização”, instalando malware no diretório temporário do sistema. A carga útil de malware é a ladrão atômico (AMOS), um InfoStealer ativo desde abril de 2023 e usado por cibercriminosos motivados financeiramente. Esta campanha se estende além de uma única marca, com os investigadores ligando -a a repositórios falsificados representando empresas como 1Password, Robinhood, Citibank, Docker, Shopify e Basecamp. O objetivo principal é roubar dados confidenciais do usuário, incluindo credenciais e informações financeiras. Para melhorar seu alcance e persistência, os atacantes registram vários nomes de usuário do Github para contornar as quedas. Eles também empregam otimização de mecanismos de pesquisa (SEO) para manipular os resultados da pesquisa do Google e do Bing. Essa técnica impulsiona os links maliciosos para uma classificação mais alta, aumentando a probabilidade de os usuários que procuram software legítimo sejam direcionados para as páginas fraudulentas, em vez de sites de downloads oficiais. O LastPass afirmou que está “monitorando ativamente” a campanha, trabalhando em quedas e compartilhando indicadores de compromisso para ajudar outras organizações a detectar a ameaça. O método dos atacantes destaca a rapidez com que os repositórios fraudulentos podem ser estabelecidos em plataformas como o Github, retiradas e depois recriadas sob novos pseudônimos. Essa atividade cíclica representa um desafio de proteção persistente para essas plataformas orientadas pela comunidade. Aqui estão algumas medidas de segurança recomendadas para mitigar esses riscos:
- Download de software apenas de fontes oficiais verificadas.
- Evitando a execução de comandos copiados de sites desconhecidos.
- Mantendo o macOS e todo o software instalado totalmente atualizado.
- Usando o software antivírus que fornece proteção contra ransomware.
- Ativando backups regulares do sistema para recuperação de dados.
- Permanecendo cético em relação a links, e-mails e pop-ups inesperados.
- Monitorando os avisos oficiais de fornecedores de software.
- Usando senhas fortes e exclusivas combinadas com a autenticação de dois fatores.
