近年来,随着苹果 macOS 设备在市场中的渗透率不断提升,针对该操作系统的恶意攻击也趋于频繁且复杂。安全领导者 LastPass 最近发布警告,揭示了一个通过伪造 GitHub 仓库分发 Atomic 信息窃取器的广泛信息盗窃活动。此次活动主要利用搜索引擎优化(SEO)毒化策略,将恶意链接置于谷歌和必应等主流搜索引擎的搜索结果前列,诱导 macOS 用户误入陷阱,从而下载安装带有恶意代码的软件。攻击中用到的假冒软件覆盖了市面上诸多知名工具。除了被 LastPass 针对的品牌,有 1Password、Basecamp、Dropbox、Gemini、Hootsuite、Notion、Obsidian、Robinhood、Salesloft、SentinelOne、Shopify、Thunderbird 和 TweetDeck 等多个应用被仿冒。由于这些都是许多用户日常使用的热门工具,用户往往不会怀疑下载来源的合法性,从而使这次攻击具有高度的欺骗性和隐蔽性。
来自 LastPass 威胁情报、缓解和升级(TIME)团队的安全专家指出,攻击者创建了多个不同的 GitHub 用户名,以绕过平台的内容下架措施和防御机制。这些假仓库会先向用户展示一个"在 MacBook 安装 LastPass"按钮,用户点击后被重定向至真正加载恶意软件的 GitHub 页面。随后,页面会引导用户使用类似 ClickFix 的步骤,复制一条特殊命令并在 macOS 上的终端应用中执行,最终导致 Atomic 信息窃取器成功植入系统。Atomic 信息窃取器是一款强大的恶意软件,旨在从受害者设备获取敏感数据,如登录凭据、浏览器数据、加密钱包密钥以及其他个人隐私信息。攻击者利用这些数据进行身份盗窃、账户劫持甚至金融欺诈,给受害者带来严重的经济和隐私损失。值得注意的是,攻击手段与此前使用恶意赞助谷歌广告投放 Homebrew 假冒版本的多阶段投放程序类似。
该恶意程序具备检测虚拟机环境和反分析能力,能够绕过安全防护,悄然建立远程控制连接。安全研究者 Dhiraj Mishra 也指出,在近期攻击活动中,黑客越来越倾向于利用公共代码托管平台 GitHub,利用悬挂提交(dangling commits)等技术,借由官方仓库的漏洞或缺乏限制的流程,诱导用户下载伪装成合法软件的恶意程序。这种利用公共代码托管资源的攻击模式,不仅增加了攻击的隐蔽性,也挫败了部分传统安全检测手段的监控效果。随着事件的不断演进,安全厂商 Malwarebytes 也在 2025 年 9 月 23 日的后续报告中确认,攻击者除了假冒 LastPass,以 GitHub 仓库作假版本分发外,还假冒该公司自身的安全软件。恶意行为者频繁模仿知名品牌以树立可信度,正成为当下网络攻击的普遍手段。通过借助品牌信誉,攻击意图感染更多目标设备,盗取重要信息以实现非法获利。
针对这类攻击,安全专家建议 macOS 用户增强安全意识,避免直接通过搜索引擎结果下载安装程序。尽量从官方渠道获取软件并核实下载链接的真实性。此外,执行终端命令时应保持警惕,确认命令来源与目的,避免盲目复制和运行不明代码。企业层面,建议部署多层次安全防御,包括行为检测、入侵防御和恶意软件分析,及时发现并阻断类似攻击链。同时,加强员工的安全培训,提高识别钓鱼和社交工程骗局的能力。综上所述,假冒 GitHub 仓库感染 macOS 的 Atomic 信息窃取器事件揭示了攻击者利用社交信任与技术漏洞相结合的新型攻击路径,值得所有苹果用户和安全从业者高度重视。
通过持续关注安全态势,采用科学防护措施,方能最大程度降低信息泄露风险,保障数字时代的信息安全环境。 。
