Angreifer missbrauchen derzeit gefälschte GitHub-Repositories, um macOS-Anwender zu schädlichen Installern zu lenken. In einer jüngst beobachteten Kampagne wurden vermeintliche LastPass-Downloads prominent in Suchmaschinen platziert und führten zu Atomic Stealer (AMOS), einem seit 2023 aktiven macOS-Infostealer. Die Repositories wurden inzwischen entfernt, doch die Technik bleibt hochrelevant.
SEO-Poisoning auf GitHub: von der Suche zur Infektion
Am 16. September 2025 tauchten zwei Repositories auf, die LastPass imitierten. Beide stammten vom Nutzer modhopmduck476 und verlinkten auf eine identische Downloadfalle. Die Täter setzten auf SEO-Poisoning: Projektname und Beschreibung enthielten Kombinationen aus Markenbegriffen und „Mac“, um das Vertrauen in GitHub und die Sichtbarkeit in der Websuche auszunutzen.
ClickFix: Social Engineering über Terminal-Befehle
Die Opfer landeten auf einer Seite, die eine „schnelle Installation“ empfahl: Ein vorbereiteter Terminal-Befehl sollte angeblich LastPass Premium für Mac installieren. Dieses ClickFix-Muster verschleiert die eigentliche Aktion. In der analysierten Kette löste der Befehl einen curl-Abruf zu einer kodierten URL aus, legte einen „Update“-Payload in einem temporären Verzeichnis ab und startete die Installation von AMOS. Weil der Nutzer die Aktion selbst auslöst, wirken Gatekeeper-Dialoge weniger abschreckend, und Sicherheitskontrollen werden umgangen (MITRE ATT&CK: T1204 User Execution, T1059 Command and Scripting Interpreter).
Breite Marken-Imitation seit Juli
Die Kampagne läuft nach Beobachtungen seit mindestens Juli und beschränkt sich nicht auf LastPass. Imitiert wurden u. a. 1Password, Dropbox, Confluence, Robinhood, Fidelity, Notion, Gemini, Audacity, Adobe After Effects, Thunderbird und SentinelOne. Mehrere Accounts folgten einem ähnlichen Benennungsschema (Marke + macOS/Mac), was die Moderation erschwert und die Auffindbarkeit über Suchmaschinen erleichtert.
Atomic Stealer (AMOS): Fähigkeiten, TTPs und IoCs
AMOS ist ein kommerziell vermarkteter macOS-Infostealer, der über Untergrundforen verbreitet wird. Der Schadcode zielt auf Browserdaten (Cookies, Autofill, gespeicherte Passwörter), Kryptowallets und versucht, Informationen aus der macOS-Schlüsselbundverwaltung zu extrahieren. Mehrere Forschungsgruppen berichten seit 2023/2024 über AMOS sowie über Varianten mit Backdoor-Komponenten, die Persistenz und Post-Exploitation erweitern (u. a. Berichte von Malwarebytes, SentinelOne und Elastic).
Als Zwischenstation wurde der Domain-Indikator macprograms-pro[.]com beobachtet. Konsistente Merkmale der TTP: externe Weiterleitungen, einheitliche „Ein-Klick“-Installationsanweisungen mit Terminal-Befehlen und das Versprechen einer „schnellen“ Problemlösung. Diese Muster sind robuste Erkennungsmerkmale für Verteidiger.
Risiken für Unternehmen und Privatanwender
Der Hauptschaden entsteht durch die Kompromittierung von Zugangsdaten und den Missbrauch resultierender Zugriffe auf Cloud-Dienste, E-Mail, Finanzkonten und Unternehmensressourcen. Auf macOS vermitteln Copy-&-Paste-Installationen über das Terminal häufig eine trügerische Legitimität, insbesondere in BYOD-Umgebungen, und unterlaufen etablierte Benutzergewohnheiten.
Empfehlungen: Schutz vor SEO-Poisoning und ClickFix
Software nur aus offiziellen Quellen beziehen: Webseiten der Hersteller und Mac App Store bevorzugen. Vorsicht bei neu erstellten GitHub-Repos ohne Commithistorie, Sterne und mit „marketinglastigen
