摘要：这是根据 LastPass 的威胁情报、缓解和升级 （TIME） 团队的说法，该团队于 9 月 18 日发布了一篇博客文章，专门讨论新兴的威胁活动，涉及声称来自合法公司的虚假 GitHub 页面。代码存储库最近被用于多种攻击，包括 Shai-Hulud 蠕虫、

威胁行为者正在使用大规模的 SEO 中毒活动和虚假的 GitHub 存储库向 Mac 用户提供 Atomic 信息窃取程序。

一种新兴的威胁活动是使用有针对性的 SEO 中毒来攻击 Mac 用户的信息窃取程序。

这是根据 LastPass 的威胁情报、缓解和升级 （TIME） 团队的说法，该团队于 9 月 18 日发布了一篇博客文章，专门讨论新兴的威胁活动，涉及声称来自合法公司的虚假 GitHub 页面。代码存储库最近被用于多种攻击，包括 Shai-Hulud 蠕虫、多产的 NPM 开发人员 Qix 的入侵、Salesloft 漏洞等等。

根据 LastPass 博客文章的作者 Alex Cox、Mike Kosak 和 Stephanie Schneider 的说法，威胁行为者正在发布包含声称是合法软件的 MacOS 版本的恶意软件的 GitHub 存储库，同时利用 SEO 来确保虚假存储库在搜索结果中处于有利位置。

GitHub Mac 攻击

LastPass 表示，该活动针对的是包括 LastPass 在内的一系列技术和金融领域的公司。在这种情况下，研究人员从 GitHub 用户那里发现了两个虚假列表，用于提供“MacBook 上的 LastPass Premium”的存储库。活动中使用的页面是由多个 GitHub 用户名创建的，并且充斥着与 MacOS 相关的术语。

该网站包含一个下载链接，指示用户将特定代码行粘贴到 Mac 终端中。该代码，至少在虚假的 LastPass 页面的情况下，会导致 Atomic 信息窃取程序（也称为 AMOS）的下载和执行。

相关新闻：Microsoft 破坏“RaccoonO365”网络钓鱼服务

这两个页面都是在 9 月 16 日在 GitHub 上创建的，LastPass 表示“这些网站立即提交删除，现在处于非活动状态。

这种事情以前做过;LastPass 引用了 7 月份发表的研究，详细介绍了类似的社会工程活动，其中攻击者声称在 GitHub 上提供 MacOS 版本的包管理器 Homebrew。按照页面的说明进行作同样会导致恶意软件安装。

上个月，CrowdStrike 详细介绍了它跟踪的威胁组织 Cookie Spider 的一场活动。该组织试图使用“SHAMOS”破坏 300 多个客户环境，“SHAMOS”是上述 Atomic 信息窃取程序的变体。该活动同样利用恶意广告将其窃取者带入受害者环境，CrowdStrike 表示，这已被其 Falcon 平台阻止。

CrowdStrike 在其研究中表示：“作为恶意软件即服务，COOKIE SPIDER 将这种信息窃取程序出租给网络犯罪分子，网络犯罪分子部署它来从受害者那里获取敏感信息和加密货币资产。“该活动利用恶意广告将用户引导至欺诈性 macOS 帮助网站，在这些网站上，受害者被指示执行恶意的单行安装命令。”

相关新闻：自我复制的“Shai-hulud”蠕虫以 NPM 包为目标

LastPass 表示，CrowdStrike 的研究追踪了 Cookie Spider 活动，但至少从 2023 年 4 月开始，Atomic 信息窃取者就一直活跃。

缓解 Mac 攻击

Dark Reading 询问 LastPass 为什么 Mac 用户特别成为该活动和恶意软件的目标。LastPass 的高级首席情报分析师 Kosak 假设恶意软件背后的组织可能更愿意关注 macOS 系统;攻击者可能会将 Mac 用户视为“唾手可得的果实，因为 Mac 面临的恶意软件威胁较少的危险印象继续挥之不去。

为了减轻这种威胁和其他类似威胁，Kosak 表示，组织和用户应该只从合法的应用程序商店下载软件，或者就 GitHub 而言，确认存储库由相关公司本身管理。尽管，正如 Kosak 所指出的，在考虑最近的供应链攻击（例如针对 NPM 用户的攻击）时，“这可能更棘手”。

为了防御信息窃取者，Kosak 建议使用当前的防病毒或 EDR 保护，并且正如 LastPass 所期望的那样，避免“将您的凭据或其他敏感信息存储在浏览器中，并 [考虑] 使用密码管理器或其他安全存储方法。

相关新闻：“在环中谎言”攻击击败了人工智能编码代理

原文：Attackers Use Phony GitHub Pages to Deliver Mac Malware

来源：小胡科技天地