LastPass попередила про масштабну кампанію, яка спрямована на користувачів macOS та використовує фейкові GitHub-репозиторії для поширення шкідливих програм, зокрема інфостілера Atomic. Зловмисники маскують malware під легітимні інструменти, такі як 1Password, Basecamp, Dropbox, Gemini, Hootsuite, Notion, Obsidian, Robinhood, Salesloft, SentinelOne, Shopify, Thunderbird і TweetDeck.

Атаки базуються на маніпуляціях з пошуковою оптимізацією (SEO), щоб просувати посилання на шкідливі GitHub-сторінки у результатах пошуку Bing і Google. Користувачів вводять в оману, пропонуючи натиснути кнопку “Install LastPass on MacBook”, що перенаправляє на фейкову GitHub-сторінку. Ці сторінки створюються різними GitHub-аккаунтами, щоб уникнути блокувань.

Шкідливий процес включає інструкції у стилі ClickFix, які змушують користувачів копіювати та виконувати команди в додатку Terminal, що призводить до встановлення Atomic Stealer. Раніше подібні кампанії використовували спонсоровані Google Ads для Homebrew, щоб поширювати багатоступеневий дроппер через фейкові репозиторії, здатний виявляти віртуальні машини та виконувати команди для зв’язку з віддаленим сервером.

Нещодавно зловмисники також використовували публічні GitHub-репозиторії для розміщення шкідливих файлів, таких як Amadey, та маніпулювали “dangling commits” офіційних репозиторіїв, перенаправляючи користувачів на шкідливі програми.
“У випадку з LastPass фейкові репозиторії перенаправляли жертв на сторінку, яка завантажувала інфостілер Atomic”, — зазначили дослідники Alex Cox, Mike Kosak і Stephanie Schneider з команди LastPass TIME.