Les chercheurs en cybersécurité avertissent les utilisateurs de Mac d’une campagne de logiciels malveillants sur GitHub. Les attaquants se font passer pour des entreprises de confiance, en utilisant des pages frauduleuses pour distribuer un infostecteur qui met en danger des données financières et personnelles. L’avertissement provient des analystes de la renseignement, de l’atténuation et de l’escalade (temps) de la menace, des analystes. Ils ont d’abord identifié deux pages GitHub frauduleuses le 16 septembre 2025, sous le nom d’utilisateur «Modhopmduck476», qui prétendait offrir LastPass pour le logiciel Mac. Bien que ces pages spécifiques aient été supprimées, l’activité indique une campagne plus large et évolutive. La chaîne d’attaque est lancée lorsqu’un utilisateur clique sur un lien intitulé «Installer Lastpass sur MacBook». Cela déclenche une redirection vers hxxps: //ahoastock825.github.io/.github/lastpass, suivie d’un autre à macprograms-pro.com/mac-git-2-download.html. Sur cette dernière page, les utilisateurs sont invités à coller une commande dans le terminal de leur Mac. La commande utilise une demande de curl pour récupérer une URL codée Base64, qui décode bonoud.com/get3/install.sh. Ce script télécharge une charge utile « mise à jour », installant des logiciels malveillants dans le répertoire temporaire du système. La charge utile malveillante est atomique Stealer (AMOS), un infostecteur actif depuis avril 2023 et utilisé par des cybercriminels motivés financièrement. Cette campagne s’étend au-delà d’une seule marque, les enquêteurs le reliant à de faux référentiels imitants pour l’identité d’entreprises telles que 1Password, Robinhood, Citibank, Docker, Shopify et Basecamp. L’objectif principal est de voler des données d’utilisateurs sensibles, y compris les informations d’identification et les informations financières. Pour améliorer leur portée et leur persistance, les attaquants enregistrent plusieurs noms d’utilisateur GitHub pour contourner les démontages. Ils utilisent également l’optimisation des moteurs de recherche (SEO) pour manipuler Google et les résultats de recherche de Bing. Cette technique pousse les liens malveillants à un rang plus élevé, augmentant la probabilité que les utilisateurs qui recherchent un logiciel légitime seront dirigés vers les pages frauduleuses au lieu de sites de téléchargement officiels. LastPass a déclaré qu’il «surveillait activement» la campagne, travaille sur les retraits et partage des indicateurs de compromis pour aider d’autres organisations à détecter la menace. La méthode des attaquants met en évidence la rapidité avec laquelle les référentiels frauduleux peuvent être établis sur des plateformes comme Github, enlevées, puis recréées sous de nouveaux alias. Cette activité cyclique pose un défi de protection persistant pour ces plateformes axées sur la communauté. Voici quelques mesures de sécurité recommandées pour atténuer ces risques:
- Téléchargement des logiciels uniquement à partir de sources officielles vérifiées.
- Éviter l’exécution des commandes copiées à partir de sites Web inconnus.
- Garder MacOS et tous les logiciels installés entièrement mis à jour.
- Utilisation d’un logiciel antivirus qui offre une protection des ransomwares.
- Activer des sauvegardes système régulières pour la récupération des données.
- Rester sceptique sur les liens, les e-mails et les pop-ups inattendus.
- Surveillance des avis officiels des fournisseurs de logiciels.
- Utilisation de mots de passe solides et uniques combinés avec une authentification à deux facteurs.
