Campaña de SEO poisoning en GitHub redirige a usuarios de macOS a Atomic Stealer (AMOS)

CyberSecureFox 🦊

Desarrolladores de LastPass alertaron sobre una campaña dirigida contra usuarios de macOS que abusa del SEO poisoning en GitHub para posicionar repositorios falsos que imitan software popular y redirigen a instaladores de Atomic Stealer (AMOS). AMOS es uno de los infostealers para macOS con mayor actividad desde 2023, con especial enfoque en el robo de credenciales, cookies, datos de autocompletado y carteras de criptomonedas, según informes públicos de Jamf Threat Labs y Malwarebytes.

SEO poisoning en GitHub: repositorios falsos que escalan en las búsquedas

La investigación identificó dos repositorios creados el 16 de septiembre de 2025 que se hacían pasar por proyectos de LastPass. Ambos, publicados por la cuenta modhopmduck476, incluían enlaces a una supuesta “instalación de LastPass para MacBook” que conducía a un sitio trampa. Aunque GitHub eliminó estos repositorios, la técnica sigue vigente y es reproducible.

El vector consiste en optimizar nombres y descripciones con combinaciones de marca + “Mac”/“macOS”, aprovechando la confianza en GitHub y la alta visibilidad en buscadores. Este patrón, además, se replica con múltiples cuentas que emplean convenciones similares, lo que complica la moderación manual y favorece la persistencia de la campaña.

ClickFix: ingeniería social a través del terminal

Los enlaces alojados en GitHub llevaban a páginas que ofrecían “LastPass Premium para MacBook” mediante una “instalación rápida”: copiar y pegar una línea en el terminal. Esta táctica, conocida como ClickFix, disfraza un “arreglo sencillo” para ocultar acciones reales del comando.

En el flujo observado, la orden ejecutaba una solicitud de descarga hacia una URL codificada, guardaba un payload llamado “Update” en un directorio temporal y desencadenaba la instalación de AMOS. Al iniciarse por el propio usuario, estos pasos suelen sortear expectativas y controles básicos, reduciendo fricción de seguridad como los diálogos que muchos asocian a instalaciones oficiales.

Alcance de la campaña y suplantación de marcas

La actividad, activa al menos desde julio, no se limita a LastPass. Se han falsificado proyectos que aparentan pertenecer a 1Password, Dropbox, Confluence, Robinhood, Fidelity, Notion, Gemini, Audacity, Adobe After Effects, Thunderbird, SentinelOne, entre otros. El uso de múltiples cuentas con patrones similares aumenta la superficie de exposición y dificulta la detección temprana.

Atomic Stealer (AMOS): capacidades y señales de compromiso

AMOS es un infostealer comercial para macOS ofertado en foros clandestinos desde 2023. Roba credenciales de navegadores (cookies, formularios, contraseñas guardadas), datos de carteras cripto y puede intentar extraer información del llavero del sistema. Investigaciones recientes indican la incorporación de un componente de backdoor para mejorar persistencia y postexplotación.

En esta cadena se observó el dominio macprograms-pro[.]com como página intermedia. Redirecciones externas, “instrucciones de instalación” uniformes y comandos de terminal copiados desde la web constituyen indicadores tácticos consistentes con esta TTP.

Riesgos para usuarios y organizaciones

El principal riesgo es la comprometación de credenciales y su reutilización para acceder a correo, servicios en la nube, finanzas y recursos corporativos. En macOS, el hábito de “copiar y pegar” comandos reduce barreras de protección percibidas y puede eludir controles si la ejecución es iniciada por el usuario, abriendo la puerta a movimientos laterales y fraudes.

Medidas de mitigación y buenas prácticas

Descarga desde fuentes oficiales: prioriza sitios del fabricante y Mac App Store. Desconfía de repositorios recién creados, sin historial de commits, sin estrellas y con descripciones marcadamente “marketinianas”.

Verifica la legitimidad del proyecto: pertenencia a una organización verificada de GitHub, enlaces desde el dominio oficial del proveedor y presencia de firma digital y notarización de Apple en instaladores.

No ejecutes comandos a ciegas: cualquier “arreglo rápido” vía terminal sin explicación transparente es una señal de alerta. En entornos corporativos, restringe la ejecución de scripts no verificados e implementa EDR para macOS, bloqueo de dominios de corta vida y DNS seguro, además de capacitación para identificar URL sospechosas.

Los atacantes seguirán explotando la confianza en GitHub y la búsqueda de soluciones rápidas. Refuerza la higiene de descarga e instalación, exige pruebas de autenticidad y desconfía de comandos “copiados de Internet”. Una combinación de controles técnicos (EDR, filtrado DNS, verificación de firmas) y formación continua es la mejor defensa para reducir el impacto de campañas como esta.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.