Los investigadores de ciberseguridad advierten a los usuarios de Mac sobre una campaña de malware en GitHub. Los atacantes se hacen pasar por empresas de confianza, utilizando páginas fraudulentas para distribuir un infador de infantes que pone en riesgo los datos financieros y personales. La advertencia se origina en los analistas de inteligencia de amenazas, mitigación y escalada (tiempo) de Last Pass. Primero identificaron dos páginas fraudulentas de Github el 16 de septiembre de 2025, bajo el nombre de usuario «Modhopmduck476», que pretendía ofrecer el software LastPass para Mac. Si bien estas páginas específicas se han eliminado, la actividad apunta a una campaña en evolución más amplia. La cadena de ataque se inicia cuando un usuario hace clic en un enlace etiquetado como «Instale LastPass en MacBook». Esto desencadena una redirección a hxxps: //ahoastock825.github.io/.github/lastpass, seguido de otro a macprograms-pro.com/mac-git-2-dowload.html. En esta página final, los usuarios reciben instrucciones de pegar un comando en la terminal de su Mac. El comando utiliza una solicitud CURL para obtener una URL codificada de Base64, que decodifica a Bonoud.com/get3/install.sh. Este script descarga una carga útil de «actualización», instalando malware en el directorio TEMP del sistema. La carga útil de malware es Atomic Stealer (AMOS), un infoptealer activo desde abril de 2023 y utilizado por cibercriminales motivados financieramente. Esta campaña se extiende más allá de una sola marca, con investigadores que lo vinculan con repositorios falsos que se hacen pasar por compañías como 1Password, Robinhood, Citibank, Docker, Shopify y Basecamp. El objetivo principal es robar datos confidenciales del usuario, incluidas las credenciales e información financiera. Para mejorar su alcance y persistencia, los atacantes registran múltiples nombres de usuario de GitHub para eludir los derribos. También emplean la optimización de motores de búsqueda (SEO) para manipular los resultados de búsqueda de Google y Bing. Esta técnica empuja los enlaces maliciosos a un rango más alto, lo que aumenta la probabilidad de que los usuarios que buscan software legítimo se dirigen a las páginas fraudulentas en lugar de los sitios de descarga oficiales. LastPass declaró que está «monitoreando activamente» la campaña, trabajando en derribos y compartiendo indicadores de compromiso para ayudar a otras organizaciones a detectar la amenaza. El método de los atacantes resalta la rapidez con que se pueden establecer repositorios fraudulentos en plataformas como Github, retiradas y luego recreadas bajo nuevos alias. Esta actividad cíclica plantea un desafío de protección persistente para tales plataformas impulsadas por la comunidad. Aquí hay algunas medidas de seguridad recomendadas para mitigar estos riesgos:
- Descarga de software solo de fuentes oficiales verificadas.
- Evitar la ejecución de comandos copiados de sitios web desconocidos.
- Mantener macOS y todo el software instalado completamente actualizado.
- Uso de software antivirus que proporciona protección de ransomware.
- Habilitando copias de seguridad del sistema regular para la recuperación de datos.
- Sigue siendo escéptico de enlaces inesperados, correos electrónicos y ventanas emergentes.
- Monitoreo de avisos oficiales de proveedores de software.
- Uso de contraseñas fuertes y únicas combinadas con la autenticación de dos factores.
