LastPass提醒macOS用戶：假冒熱門軟件的惡意程序通過虛假GitHub倉庫傳播

LastPass（一款密碼管理工具）向macOS用戶發出安全提示，稱有一場攻擊活動正通過虛假GitHub倉庫分發偽裝成熱門軟件的惡意程序。

這些偽造應用會在“ClickFix攻擊”中植入Atomic（又稱AMOS）信息竊取惡意軟件，且攻擊者通過Google和Bing的搜索引擎優化策略推廣這些虛假應用。

AMOS是一款“惡意軟件即服務”產品，月租費為1000美元，通常以受感染設備上的數據為攻擊目標。近期，該惡意軟件的開發者新增了后門組件，使攻擊者能以隱蔽方式持續控制已攻陷的系統。

攻擊細節：偽裝超百款軟件，借GitHub與ClickFix傳播

LastPass表示，除自身產品外，此次攻擊還偽裝了超100款軟件，包括1Password（密碼管理工具）、Dropbox（云存儲工具）、Confluence（協同辦公軟件）、Robinhood（股票交易應用）、Fidelity（金融服務軟件）、Notion（筆記工具）、Gemini（谷歌AI工具）、Audacity（音頻編輯軟件）、Adobe After Effects（視頻特效軟件）、Thunderbird（郵件客戶端）及SentinelOne（安全軟件）等。

惡意的Google搜索結果

攻擊者通過多個賬號創建了大量虛假GitHub倉庫——此舉既能規避平臺下架，又能通過優化讓倉庫在搜索結果中排名靠前。

聲稱與LastPass有關的GitHub代碼庫

這些倉庫會設置“下載按鈕”，引導訪問者跳轉至二級網站；在該網站中，用戶會被誘導將一段命令粘貼到終端（Terminal）以完成“安裝”。

這是典型的“ClickFix攻擊”：利用受害者不了解命令實際作用的弱點實施攻擊。這段命令會通過curl工具請求一個經Base64編碼的URL，并將AMOS惡意載荷（install.sh腳本）下載到設備的/tmp目錄（臨時目錄）。

攻擊背景與防御建議

針對蘋果電腦的ClickFix攻擊并非首次出現。此前也有過類似活動，例如Booking.com的攻擊，以及近期通過廣告推廣“macOS特定問題解決方案”的虛假應用攻擊。

盡管LastPass仍在持續監控此次攻擊，并向GitHub舉報虛假倉庫，但攻擊者可通過自動化工具用新賬號快速創建新倉庫，導致攻擊難以徹底遏制。

為避免遭遇ClickFix攻擊，LastPass建議用戶采取以下措施：

1. 切勿在系統中運行自身不理解的命令；

2. 在線查找軟件時，優先通過軟件廠商或項目的官方網站獲取安裝包——若官網未提供macOS版本，聲稱提供“非官方版”的渠道大概率為虛假；

3. 若需使用第三方移植的macOS版本，需確認提供方為大眾認可的知名機構，且經過安全性驗證。

參考及來源：https://www.bleepingcomputer.com/news/security/lastpass-fake-password-managers-infect-mac-users-with-malware/