Разработчики LastPass предупредили о целевой кампании против пользователей macOS: злоумышленники создают поддельные репозитории GitHub, которые имитируют известные продукты и за счет SEO-продвижения попадают в верхние позиции поисковой выдачи. По данным компании, такие репозитории перенаправляли жертв к установщику Atomic Stealer (AMOS) — одного из наиболее активных инфостилеров для macOS с 2023 года.
SEO-poisoning на GitHub: как жертв приводят к вредоносной загрузке
Обнаружены два репозитория, опубликованные 16 сентября 2025 года и выдававшие себя за проекты LastPass. Оба были размещены пользователем с ником modhopmduck476 и содержали ссылки на «установку LastPass для MacBook», которые вели на одну и ту же ресурс-ловушку. На момент публикации репозитории удалены, однако техника остается актуальной.
Цепочка атаки строится на SEO-poisoning: злоумышленники оптимизируют названия репозиториев и описания под популярные запросы (бренд + «Mac»), чтобы обойти критическое мышление пользователя за счет доверия к GitHub и высокой позиции в поиске.
Техника ClickFix: социальная инженерия через терминал
Переход по ссылке с GitHub приводил на страницу, где предлагалось скачать «LastPass Premium для MacBook» и выполнить «быструю установку» путем копирования подготовленной строки в терминал. Это классическая схема ClickFix, когда пользователю навязывают «простое исправление» или установку, скрывая реальное действие команды.
Скопированная команда инициировала curl-запрос к закодированному URL, загружая «Update»-пейлоад во временную директорию и запускающую цепочку установки AMOS. Такой подход часто обходит пользовательские ожидания и политики контроля, поскольку действие инициирует сам владелец устройства.
Масштабы кампании и подмена брендов
По наблюдениям исследователей, активность длится минимум с июля и не ограничивается LastPass. Подделывались страницы известных компаний и продуктов: 1Password, Dropbox, Confluence, Robinhood, Fidelity, Notion, Gemini, Audacity, Adobe After Effects, Thunderbird, SentinelOne и др. Использовались множество аккаунтов с похожим паттерном именования (название бренда + указание на macOS или Mac), что усложняет ручную модерацию.
Atomic Stealer (AMOS): что крадет и почему опасен
AMOS — коммерческий инфостилер для macOS, активно распространяемый в даркнете с 2023 года. Он нацелен на кражу содержимого браузеров (cookies, автозаполнение, сохраненные пароли), криптокошельков, а также может пытаться извлечь данные из связки ключей. По сообщениям нескольких исследовательских групп, в последние месяцы AMOS получил бэкдор-компонент, расширяющий возможности постэксплуатации и устойчивости в системе.
В разобранной цепочке злоумышленники использовали домен macprograms-pro[.]com в качестве промежуточной страницы. Наличие внешних редиректов и однотипных «установочных» инструкций с терминальными командами — устойчивые индикаторы описанной TTP.
Риски для пользователей и организаций
Основная опасность — компрометация учетных данных и последующее злоупотребление доступами (включая облачные сервисы, почту, финансы и корпоративные ресурсы). Для macOS это особенно критично: запуск команд из терминала по шаблону «скопируй-вставь» нередко обходится без привычных пользователю диалогов безопасности, создавая ложное ощущение «официальной» установки.
Рекомендации по защите и снижению рисков
Загружайте ПО только с официальных источников — сайтов вендоров и Mac App Store. Не доверяйте репозиториям GitHub, созданным недавно, без истории коммитов, с нулем звёзд и «маркетинговыми» описаниями.
Проверяйте принадлежность проекта: наличие верифицированной организации на GitHub, ссылки на репозиторий с официального домена производителя, цифровую подпись и нотарификацию Apple для инсталляторов.
Не запускайте команды из интернета вслепую. Любое «быстрое исправление» через терминал без прозрачного объяснения действий — красный флаг. Администраторам стоит ограничить исполнение непроверенных скриптов и включить мониторинг EDR для macOS.
Внедряйте защиту от SEO-poisoning: блокируйте доступ к доменам-однодневкам, используйте безопасный DNS/фильтрацию, обучайте сотрудников проверять URL и искать подтверждение на официальных ресурсах.
Кампании с подделкой репозиториев и SEO-продвижением будут развиваться: злоумышленники ловко эксплуатируют доверие к GitHub и привычку пользователей искать «быстрые решения». Организациям и частным пользователям стоит выстроить дисциплину загрузки ПО, усилить контроль над установочными сценариями и уделять внимание индикаторам социальной инженерии. Проверяйте источники, требуйте доказуемой подлинности и не доверяйте терминальным командам «с копипаста» — это самый дешевый, но очень эффективный вход для злоумышленника.
