Lastpass met en garde contre une campagne de voleurs d’informations en cours et répandue ciblant les utilisateurs d’Apple MacOS via de faux référentiels GitHub qui distribuent des programmes malveillants se faisant passer pour des outils légitimes.
“Dans le cas de LastPass, les référentiels frauduleux ont redirigé les victimes potentielles vers un référentiel qui télécharge le malware infosélérateur atomique”, ont déclaré les chercheurs Alex Cox, Mike Kosak et Stephanie Schneider de l’équipe LastPass Threat Intelligence, l’atténuation et l’escalade (temps).
Au-delà de Lastpass, certains des outils populaires impurnés de la campagne incluent 1Password, Basecamp, Dropbox, Gemini, Hootsuite, Notion, Obsidian, Robinhood, SalesLoft, Sentinelone, Shopify, Thunderbird et Tweetdeck, entre autres. Tous les référentiels GIHUB sont conçus pour cibler les systèmes macOS.
Les attaques impliquent l’utilisation d’empoisonnement d’optimisation des moteurs de recherche (SEO) pour pousser les liens vers des sites GitHub malveillants en plus des résultats de recherche sur Bing et Google, qui invitent ensuite aux utilisateurs à télécharger le programme en cliquant sur le bouton “Installer Lastpass sur MacBook”, en les redirigeant un domaine de page GitHub.
“Les pages GitHub semblent être créées par plusieurs noms d’utilisateur GitHub pour contourner les retraits”, a déclaré Lastpass.
La page GitHub est conçue pour amener l’utilisateur à un autre domaine qui fournit des instructions de style ClickFix pour copier et exécuter une commande sur l’application Terminal, entraînant le déploiement du malware atomique du voleur.
Il convient de noter que des campagnes similaires ont été précédemment à profit des publicités Google parrainées par malveillance pour Homebrew pour distribuer un compte-gouttes à plusieurs étapes via un faux référentiel Github qui peut exécuter des machines virtuelles détectées ou des environnements d’analyse, et décoder et exécuter des commandes système pour établir une connexion avec un serveur distant, par chercheur de sécurité Dhiraj Mishra.
Au cours des dernières semaines, les acteurs de la menace ont été repérés en tirant parti des référentiels publics GitHub pour accueillir des charges utiles malveillantes et les distribuer via Amadey, ainsi que d’employer des engagements pendants correspondant à un référentiel officiel de Github pour rediriger les utilisateurs involontaires vers des programmes malveillants.
