حذّرت LastPass من حملة واسعة تهدف مستخدمي نظام macOS عبر مستودعات مزيفة على GitHub تُروّج لبرامج تبدو شرعية لكنها تحمل برمجية سرقة معلومات تُعرف باسم Atomic، بعد أن تُعيد توجيه الباحثين عن أدوات شائعة إلى صفحات خبيثة تنتهي بنشر الحمولة الضارة.
أسلوب الهجوم: مستودعات مزيفة وتسميم نتائج البحث
تعتمد الحملة على إنشاء مستودعات GitHub مزيفة تنتحل أسماء أدوات شهيرة مثل LastPass و1Password وDropbox وNotion وSentinelOne وغيرها، ثم تستخدم تقنيات تسميم نتائج محركات البحث (SEO poisoning) لرفع ظهور الروابط الخبيثة في نتائج Bing وGoogle. تقود صفحات GitHub الضحايا إلى نطاقات وسيطة تعرض زر «Install LastPass on MacBook» أو تعليمات تنزيل تبدو رسمية قبل توجيه المستخدم لإكمال عملية التثبيت.
تنفيذ الهجوم عبر أوامر الطرفية وClickFix-style
توجّه الصفحات الضحية إلى نطاق ثالث يقدّم تعليمات بأسلوب ClickFix؛ يطلب من المستخدمين نسخ أمر وتشغيله في تطبيق Terminal على macOS، ما يؤدي إلى تحميل و تشغيل مُثبّت يسرّب بدوره حمولة Atomic Infostealer على الجهاز. هذا الأسلوب يستغل ثقة المستخدمين في الأوامر السريعة ونقص الوعي بخطورة تنفيذ أوامر طرفية من مصادر غير موثوقة.
تعدّد الأساليب وملامح البنية التحتية الخبيثة
تُدير الحملة حسابات GitHub متعددة لتفادي الإزالة، وقد لوحظ استخدام روابط مُعاد توجيه (dangling commits) ومحاولات استغلال الإعلانات المدفوعة المزيفة (مثل إعلانات Google) للترويج لمستودعات مزيفة أو حزم Homebrew خبيثة. كما استُخدمت مستودعات عامة لاستضافة روابط لحمولات مثل Amadey، مما يُسهّل توزيع البرمجيات الخبيثة عبر مراحل متتابعة وتقنيات كشف البيئات الافتراضية والتحايل عليها.
توصيات التخفيف والحماية
تدعو LastPass والمؤسسات الأمنية إلى توخّي الحذر عند تحميل أدوات من الإنترنت: التحقق من مصدر المستودع واسم المستخدم على GitHub، تجنّب تنفيذ أوامر طرفية مرفوعة من مصادر مشبوهة، الاعتماد على الصفحات الرسمية للمشروعات أو مديري الحزم المعتمدين، وفحص الملفات المُحمّلة بمضاد برامج موثوق قبل تشغيلها. كما يُنصح مزوّدو الخدمة بالعمل مع GitHub ومحركات البحث لإزالة الروابط الخبيثة والحد من قدرة المهاجمين على استغلال نتائج البحث لتوجيه الضحايا.
