LastPass: Fake password managers infect Mac users with malware
2025/09/22 BleepingComputer — MacOS ユーザーを標的とし、不正な GitHub リポジトリを通じて人気製品を装う悪質なソフトウェアを配布するキャンペーンについて、LastPass が警告している。具体的に言うと、それらの偽アプリは、Google/Bing などの検索エンジン最適化 (SEO) 戦略で宣伝され、ClickFix 攻撃を通じて Atomic (AMOS) 情報窃取マルウェアを配信している。
月額 $1,000 で提供される AMOS は Malware as a Service (MaaS) であり、感染させたマシン上のデータを標的とするものだが、最近ではバックドア・コンポーネントが追加されている。それにより、攻撃者は侵害したシステムに対して、ステルス的なアクセスを持続できるようになっている。
LastPass によると、このキャンペーンでは同社の製品だけではなく、1Password/Dropbox/Confluence/Robinhood/Fidelity/Notion/Gemini/Audacity/Adobe After Effects/Thunderbird/SentinelOne などの、100 以上のソフトウェア・ソリューションが偽装されている。
Source: LastPass
この攻撃者は、複数アカウントから多数の偽装 GitHub リポジトリを作成し、削除を回避しながら、検索結果で上位表示されるようにしている。
Source: LastPass
これらのリポジトリには、Download ボタンが設置されており、訪問者は別サイトに誘導される。そこで促されるのは、ターミナルにコマンドを貼り付けてのインストールの実行である。つまり、被害者がコマンド内容を理解していないことを悪用する、典型的な ClickFix 攻撃が展開されている。
Source: LastPass
実際のところ、このコマンドは base64 でエンコードされた URL に対して curl リクエストを実行し、AMOS ペイロード (install.sh) を “/tmp” ディレクトリにダウンロードする。
Apple コンピュータを標的とした ClickFix 攻撃は珍しくない。以前にも BleepingComputer は、Booking.com を装う同様のキャンペーンを報じており、最近では MacOS 固有の問題に対する、偽のソリューションを宣伝する広告も確認されている。
LastPass はキャンペーンを監視し、偽リポジトリを GitHub に報告しているが、新規アカウントによる自動化により、新たな偽リポジトリが容易に作成される状況にあるという。ClickFix 攻撃を回避するために、ユーザーが避けるべきことは、システム上での理解できないコマンドの実行である。
オンラインでソフトウェアを探す際は、ベンダーまたはプロジェクトの公式 Web サイトを信頼すべきである。MacOS 版が存在しない場合には、非公式版は偽物である可能性が高い。
MacOS への移植版のケースでは、コミュニティにより検証された信頼できるベンダーから提供されていることを、ユーザーは確認する必要がある。
GitHub リポジトリから、macOS ユーザーを狙う ClickFix 攻撃が展開されているようです。問題の本質は、利用者が公式と誤信しやすい GitHub 上の偽ページや、理解されにくいコマンド実行を誘導する仕組みにあります。AMOS というマルウェアは本来情報窃取を目的にしていましたが、最近ではバックドア機能が加えられ、侵入後も長く潜伏できるようになっている点が特徴的です。さらに、検索エンジン最適化や ClickFix 攻撃といったソーシャル・エンジニアリングの手口と組み合わさることで、技術に不慣れな人ほど騙されやすくなっていると、この記事は指摘しています。よろしければ、ClickFix で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.