This post is also available in:
English (אנגלית)
קמפיין תקיפה חדש הממוקד במשתמשי macOS מנצל את האמון הציבורי במותגי תוכנה מוכרים, על ידי הפצת מתקינים זדוניים דרך מאגרים מזויפים ב-GitHub. התוקפים מפיצים את נוזקת הריגול Atomic Infostealer המסוגלת לאסוף מידע רגיש מהמשתמש.
שיטת התקיפה מבוססת על התחזות לחברות אמינות — כולל מנהלי סיסמאות, אפליקציות פיננסיות וכלים בקוד פתוח — באמצעות יצירת דפי GitHub שנראים לגיטימיים. בין המותגים שמתחזים אליהם ניתן למצוא את LastPass, 1Password, Thunderbird, Audacity, Robinhood, Shopify ואחרים.
כדי להגביר את החשיפה, התוקפים משתמשים בטכניקות של אופטימיזציה למנועי חיפוש (SEO) כדי לדחוף את הקישורים הזדוניים לראש תוצאות החיפוש בפלטפורמות כמו Google ו-Bing. משתמשים המחפשים להוריד תוכנות באמצעות מונחים כמו "GitHub" ו-“macOS" עשויים להיות מופנים לדפים אלו.
המאגרים הזדוניים ב-GitHub כוללים מיתוג מוכר, לוגואים ושפה מקצועית כדי להיראות אמינים. עם זאת, המבקרים מתבקשים להריץ פקודה בטרמינל של macOS, לרוב פקודת curl. הפקודה הזו שולפת כתובת URL מוצפנת (בפורמט Base64), שמורידה ומריצה סקריפט מעטפת (shell script).
סקריפט זה מתקין את נוזקת Atomic Infostealer. לאחר התקנתה, הנוזקה מסוגלת לגנוב סיסמאות, מידע מהדפדפן, ונתונים רגישים נוספים המאוחסנים במערכת של המשתמש.
הקמפיין זוהה על ידי צוות TIME (Threat Intelligence, Mitigation, and Escalation) של LastPass, שפרסם פרטים טכניים וסימני זיהוי (IoCs) כדי לסייע לצוותי אבטחה נוספים לזהות ולנטרל את האיום. הצוות ציין כי מתבצעים מאמצים להסרת המאגרים ולשיבוש פעילות התוקפים.
מתקפה זו מדגישה מגמה מדאיגה של שימוש בפלטפורמות המיועדות למפתחים, כמו GitHub, להפצת נוזקות. כמו כן, היא ממחישה את החשיבות שבאימות מקורות התוכנה — במיוחד כאשר נדרש להריץ פקודות טרמינל.
מומחי אבטחה מתבקשים לעקוב אחר פעילות רשת חשודה, לבדוק בקפידה את מקורות ההתקנה, ולהדריך משתמשי קצה על הסיכונים הכרוכים בהתקנת תוכנות ממאגרים לא רשמיים או לא מוכרים.
