2025年9月20日Ravie Lakshmananソフトウェアセキュリティ / マルウェア
LastPassは、AppleのmacOSユーザーを標的とした情報窃取型マルウェアの大規模なキャンペーンについて警告しています。この攻撃は、正規ツールを装ったマルウェア入りプログラムを配布する偽のGitHubリポジトリを通じて行われています。
「LastPassの場合、偽のリポジトリは被害者候補をAtomicインフォスティーラーマルウェアをダウンロードするリポジトリへリダイレクトしていました」と、LastPass脅威インテリジェンス・緩和・エスカレーション(TIME)チームのAlex Cox氏、Mike Kosak氏、Stephanie Schneider氏は述べています。
LastPass以外にも、このキャンペーンで偽装されている人気ツールには、1Password、Basecamp、Dropbox、Gemini、Hootsuite、Notion、Obsidian、Robinhood、Salesloft、SentinelOne、Shopify、Thunderbird、TweetDeckなどがあります。これらすべてのGitHubリポジトリはmacOSシステムを標的としています。
この攻撃では、検索エンジン最適化(SEO)ポイズニングが用いられ、BingやGoogleの検索結果上位に悪意あるGitHubサイトへのリンクを表示させます。ユーザーは「MacBookにLastPassをインストール」ボタンをクリックするよう誘導され、GitHubページのドメインへリダイレクトされます。
「GitHubページは、削除対策のため複数のGitHubユーザー名によって作成されているようです」とLastPassは述べています。
GitHubページは、ユーザーを別のドメインに誘導し、ClickFixスタイルの手順を提供して、ターミナルアプリでコマンドをコピー&実行させるように設計されており、その結果Atomic Stealerマルウェアが展開されます。
同様のキャンペーンが以前にも確認されており、Homebrew向けの悪意あるスポンサー付きGoogle広告を利用して、偽のGitHubリポジトリ経由で多段階ドロッパーを配布し、仮想マシンや解析環境を検出して、システムコマンドをデコード・実行し、リモートサーバーとの接続を確立することができると、セキュリティ研究者Dhiraj Mishra氏は述べています。
ここ数週間で、攻撃者が公開GitHubリポジトリを利用して悪意あるペイロードをホストし、Amadey経由で配布したり、公式GitHubリポジトリに対応するダングリングコミットを利用して、気付かないユーザーを悪意あるプログラムへリダイレクトする事例も確認されています。
翻訳元: https://thehackernews.com/2025/09/lastpass-warns-of-fake-repositories.html