LastPass 示警 Mac 用户：100+应用被伪造，黑客钓鱼窃取隐私数据

IT之家 9 月 23 日消息，科技媒体 bleepingcomputer 昨日（9 月 22 日）发布博文，报道称密码管理工具 LastPass 最新示警，称近期有黑客在 GitHub 上伪装热门软件（包括 LastPass、1Password、Dropbox 等），诱骗 macOS 用户安装含有 Atomic（AMOS）窃密恶意软件的假应用。

IT之家援引博文介绍，这些假应用冒充超过 100 款知名产品，包括密码管理器 LastPass 和 1Password、云服务 Dropbox、金融应用 Robinhood 等。

攻击者通过搜索引擎优化（SEO）技术，让这些伪造仓库在 Google 和 Bing 的搜索结果中排名靠前，从而提高诱骗成功率。

假应用会通过 ClickFix 攻击方式，安装 Atomic macOS Stealer（AMOS）恶意软件。AMOS 是一种“恶意软件即服务”，租金约为每月 1000 美元（现汇率约合 7115 元人民币），专门窃取感染设备上的敏感数据。近期其开发者还加入了后门功能，让攻击者能够长期、隐秘地访问受害系统，进一步扩大威胁范围。

攻击者通过多个 GitHub 账户，并为了规避平台下架措施，创建大量虚假仓库。这些仓库页面通常包含一个“下载”按钮，点击后会跳转到二级网站，并提示用户在终端中粘贴命令完成安装。

该命令会向一个经过 base64 编码的 URL 发出 curl 请求，将 AMOS 的安装脚本（install.sh）下载到临时目录 / tmp 中，从而完成感染过程。

该媒体指出，尽管 LastPass 持续监控并向 GitHub 举报虚假仓库，攻击者仍可利用自动化手段快速创建新的钓鱼页面。用户应避免运行不明命令，并优先从官方渠道下载软件；若某软件无 macOS 版本，几乎可以确定非官方版本是伪造的。