黑客伪装热门软件 GitHub成窃密新温床

9月23日，有安全研究显示，密码管理工具LastPass发布最新安全提醒，指出近期出现黑客利用GitHub平台伪装成多款热门软件的行为，诱导macOS用户下载安装含有窃密功能的恶意程序。这些伪造的应用程序冒充包括LastPass、1Password、Dropbox以及Robinhood等在内的超过百款知名软件，覆盖密码管理、云存储和金融投资等多个类别。

攻击者通过搜索引擎优化技术，使伪造的GitHub仓库在主流搜索引擎中获得较高排名，增加用户误访几率。一旦用户点击页面上的“下载”按钮，将被引导至第三方网站，并被提示在终端中执行特定命令以完成安装。该命令会发起curl请求，从一个经base64编码的URL地址下载名为install.sh的脚本文件至系统/tmp临时目录，从而激活恶意软件Atomic macOS Stealer（简称AMOS）。

AMOS属于“恶意软件即服务”类型，目前租赁费用约为每月1000美元，主要功能为窃取受感染设备中的敏感信息。近期该恶意软件还更新了后门机制，允许攻击者对目标系统实现持久化、隐蔽性远程访问，显著提升安全威胁等级。

为逃避平台监管，攻击者使用多个GitHub账号批量创建虚假项目仓库，并在被举报下架后迅速重建。尽管相关企业已持续监测并提交违规内容报告，但自动化生成手段使得钓鱼页面屡禁不止。

安全建议指出，用户应避免执行来源不明的终端指令，所有软件均应通过官方网站或认证渠道获取。若某款软件官方明确未提供macOS版本，则相关下载极有可能为伪造，需高度警惕。