I ricercatori di Cybersecurity stanno avvertendo gli utenti di Mac su una campagna di malware su GitHub. Gli aggressori impersonano le società fidate, usando pagine fraudolente per distribuire un Infostealer che mette a rischio i dati finanziari e personali. L’avvertimento proviene da analisti di intelligenza, mitigazione e escalation (tempo) di LastPass Intelligence. Hanno identificato per la prima volta due pagine GitHub fraudolente il 16 settembre 2025, sotto il nome utente “Modhopmduck476”, che pretendeva di offrire il software LastPass per Mac. Mentre queste pagine specifiche sono state rimosse, l’attività indica una campagna più ampia ed in evoluzione. La catena di attacco viene avviata quando un utente fa clic su un collegamento etichettato “Installa LastPass su MacBook”. Ciò innesca un reindirizzamento a hxxps: //ahoastock825.github.io/.github/lastpass, seguito da un altro a MacPrograms-pro.com/Mac-git-2-download.html. In questa ultima pagina, gli utenti sono incaricati di incollare un comando nel terminale del proprio Mac. Il comando utilizza una richiesta Curl per recuperare un URL codificato da Base64, che decodifica in bonoud.com/get3/install.sh. Questo script scarica un payload “aggiorna”, installando malware nella directory temporanea del sistema. Il carico utile del malware è Atomic Stealer (AMOS), un Infostealer attivo dall’aprile 2023 e utilizzato da criminali informatici motivati finanziariamente. Questa campagna si estende oltre un singolo marchio, con gli investigatori che lo collegano a falsi repository che impersonano aziende come 1Password, Robinhood, Citibank, Docker, Shopify e Basecamp. L’obiettivo principale è rubare dati utente sensibili, comprese le credenziali e le informazioni finanziarie. Per migliorare la loro portata e la loro persistenza, gli aggressori registrano più nomi utente GitHub per aggirare i takedown. Utilizzano anche l’ottimizzazione dei motori di ricerca (SEO) per manipolare i risultati di ricerca di Google e Bing. Questa tecnica spinge i collegamenti dannosi a un rango superiore, aumentando la probabilità che gli utenti che cercano software legittimi vengano indirizzati alle pagine fraudolente anziché ai siti di download ufficiali. LastPass ha dichiarato che sta “monitorando attivamente” la campagna, lavorando su takedown e condividendo indicatori di compromesso per aiutare altre organizzazioni a rilevare la minaccia. Il metodo degli aggressori evidenzia la rapidità con cui si possono stabilire repository fraudolenti su piattaforme come GitHub, demoliti e quindi ricreati sotto nuovi alias. Questa attività ciclica rappresenta una sfida di protezione persistente per tali piattaforme basate sulla comunità. Ecco alcune misure di sicurezza consigliate per mitigare questi rischi:
- Download di software solo da fonti ufficiali verificate.
- Evitare l’esecuzione di comandi copiati da siti Web non familiari.
- Mantenere MacOS e tutti i software installati completamente aggiornati.
- Utilizzo di software antivirus che fornisce protezione da ransomware.
- Abilitazione di backup di sistema regolari per il recupero dei dati.
- Rimanendo scettici di link inaspettati, e-mail e pop-up.
- Monitoraggio delle avvisi ufficiali dei fornitori di software.
- Utilizzo di password univoci forti e uniche combinate con autenticazione a due fattori.
