LastPass警告称，一场持续且广泛的信息窃取者攻击正在进行，该攻击通过伪造的GitHub仓库针对苹果macOS用户，这些仓库分发的程序含有恶意软件，却伪装成合法工具。

LastPass威胁情报、缓解与升级（TIME）团队的研究人员亚历克斯·考克斯、迈克·科萨克和斯蒂芬妮·施耐德表示：“在LastPass事件中，这些欺诈性仓库将潜在受害者重定向到一个会下载Atomic信息窃取恶意软件的仓库。”

除了LastPass，此次活动中被仿冒的一些热门工具还包括1Password、Basecamp、Dropbox、Gemini、Hootsuite、Notion、Obsidian、Robinhood、Salesloft、SentinelOne、Shopify、Thunderbird和TweetDeck等。所有这些GitHub仓库都旨在针对macOS系统。

这些攻击利用搜索引擎优化（SEO）投毒手段，将指向恶意GitHub网站的链接推至必应和谷歌搜索结果的顶部，然后诱导用户点击“在 MacBook 上安装 LastPass”按钮下载程序，将他们重定向到一个GitHub页面域名。

“这些GitHub页面似乎是由多个GitHub用户名创建的，目的是规避下架，”LastPass表示。

GitHub页面的设计目的是将用户引导至另一个域名，该域名提供类似ClickFix的指令，让用户在终端应用中复制并执行一条命令，最终导致“原子窃取者”恶意软件的部署。

值得注意的是，正如安全研究员Dhiraj Mishra所说，此前曾有类似的攻击活动利用恶意的Google赞助广告针对Homebrew，通过伪造的GitHub仓库分发一种多阶段投放器，这种投放器能够检测虚拟机或分析环境，并解码和执行系统命令以与远程服务器建立连接。

近几周，已发现威胁行为者利用公开的GitHub仓库托管恶意载荷，并通过Amadey进行分发，同时还利用与官方GitHub仓库对应的悬空提交，将不知情的用户重定向至恶意程序。