Зловмисники використовують SEO-poisoning і підроблені репозиторії GitHub, щоб спрямовувати користувачів macOS до встановлення інфостілера Atomic Stealer (AMOS). За фіксацією LastPass, скам-сторінки імітують популярні продукти та завдяки пошуковій оптимізації виходять у топ видачі, що підсилює довіру до завантаження.
Фейкові репозиторії на GitHub та SEO-маніпуляції
Виявлено два репозиторії, створені 16 вересня 2025 року від імені користувача modhopmduck476, які видавали себе за проєкти LastPass для macOS. У них розміщувалися посилання на «інсталяцію для MacBook», що перенаправляли на один і той самий сайт-пастку. Репозиторії видалені, однак прийом лишається дієвим: назва та опис заповнювалися ключовими словами на кшталт «бренд + Mac», що піднімало їх у пошуку.
ClickFix через термінал: копіюй-вставляй як інструмент обману
Користувачі, які переходили за посиланням, отримували пропозицію виконати «швидку установку» — скопіювати підготовлену команду у Terminal. Це класична соціальна інженерія ClickFix: під виглядом простого «виправлення» приховується виконання потенційно небезпечної інструкції.
Команда робила curl-запит до закодованого URL, завантажувала пейлоад з назвою «Update» у тимчасову директорію та запускала ланцюжок інсталяції AMOS. Оскільки запуск ініціює сам користувач, подібний трюк часто обходить очікування та локальні політики контролю.
Масштаб і підміна брендів: не лише LastPass
Активність триває щонайменше з липня і виходить за межі бренду LastPass. Підроблювалися сторінки, що імітували 1Password, Dropbox, Confluence, Robinhood, Fidelity, Notion, Gemini, Audacity, Adobe After Effects, Thunderbird, SentinelOne та інші відомі продукти. Для розміщення використовувалися численні акаунти зі схожими патернами назв (бренд + macOS/Mac), що ускладнює ручну модерацію.
Atomic Stealer (AMOS) для macOS: можливості та еволюція
AMOS — комерційний інфостілер для macOS, активний щонайменше з 2023 року. Він націлений на cookie-файли, дані автозаповнення, збережені паролі в браузерах, криптогаманці та може намагатися отримати дані зі зв’язки ключів (Keychain). За повідомленнями кількох дослідницьких команд, останнім часом інструмент поповнився бекдор-компонентом для постексплуатації та підвищення стійкості.
У розглянутій кампанії проміжною ланкою виступав домен macprograms-pro[.]com з уніфікованими «установчими» інструкціями та зовнішніми редиректами — впізнавані індикатори цієї TTP.
Технічний розбір TTP за MITRE ATT&CK
Ланцюжок атаки відповідає тактикам Initial Access та Execution: T1204 User Execution (спонукання користувача до запуску команди), T1059 Command and Scripting Interpreter (використання Terminal), T1105 Ingress Tool Transfer (завантаження пейлоада через curl). Маніпуляція пошуком (SEO-poisoning) виступає підготовчим етапом для залучення трафіку.
Ризики для користувачів і організацій
Ключова загроза — компрометація облікових даних і подальше зловживання доступами до пошти, хмарних сервісів, фінансів і корпоративних систем. На macOS звичка «копіюй-вставляй у Terminal» без перевірки джерела створює ілюзію офіційної інсталяції та знижує настороженість.
Як знизити ризики: практичні кроки захисту
Завантажуйте ПЗ лише з офіційних джерел: сайтів вендорів і Mac App Store. Підозрілими є нові репозиторії без історії комітів, зі «загальними» маркетинговими описами та нульовими зірками.
Верифікуйте походження: перевіряйте наявність верифікованої організації на GitHub, посилання на репозиторій з офіційного домену виробника, цифровий підпис і Apple notarization установників, відповідність Gatekeeper.
Не виконуйте незрозумілі команди з інтернету. Адміністраторам варто обмежити виконання неперевірених скриптів (MDM/allow-list), відслідковувати патерни типу curl | sh, завантаження у тимчасові каталоги та подальші процеси.
Протидія SEO-poisoning: використовуйте безпечний DNS/фільтрацію, блокуйте домени-«одноденки», впроваджуйте EDR для macOS, навчаючи співробітників перевіряти URL та підтвердження на офіційних ресурсах.
Кампанії, що експлуатують довіру до GitHub і пошуку, триватимуть. Підтримуйте «гігієну» завантажень, вимагайте перевірної автентичності, не запускайте термінальні команди «з копіпаста». Зафіксувавши підозрілі репозиторії чи редиректи, повідомляйте провайдерів платформ та безпеки — це скорочує час життя зловмисних ланцюгів і знижує ризики для спільноти.
