​LastPass提醒macOS用户：假冒热门软件的恶意程序通过虚假GitHub仓库传播

LastPass（一款密码管理工具）向macOS用户发出安全提示，称有一场攻击活动正通过虚假GitHub仓库分发伪装成热门软件的恶意程序。

这些伪造应用会在“ClickFix攻击”中植入Atomic（又称AMOS）信息窃取恶意软件，且攻击者通过Google和Bing的搜索引擎优化策略推广这些虚假应用。

AMOS是一款“恶意软件即服务”产品，月租费为1000美元，通常以受感染设备上的数据为攻击目标。近期，该恶意软件的开发者新增了后门组件，使攻击者能以隐蔽方式持续控制已攻陷的系统。

攻击细节：伪装超百款软件，借GitHub与ClickFix传播

LastPass表示，除自身产品外，此次攻击还伪装了超100款软件，包括1Password（密码管理工具）、Dropbox（云存储工具）、Confluence（协同办公软件）、Robinhood（股票交易应用）、Fidelity（金融服务软件）、Notion（笔记工具）、Gemini（谷歌AI工具）、Audacity（音频编辑软件）、Adobe After Effects（视频特效软件）、Thunderbird（邮件客户端）及SentinelOne（安全软件）等。

恶意的Google搜索结果

攻击者通过多个账号创建了大量虚假GitHub仓库——此举既能规避平台下架，又能通过优化让仓库在搜索结果中排名靠前。

声称与LastPass有关的GitHub代码库

这些仓库会设置“下载按钮”，引导访问者跳转至二级网站；在该网站中，用户会被诱导将一段命令粘贴到终端（Terminal）以完成“安装”。

这是典型的“ClickFix攻击”：利用受害者不了解命令实际作用的弱点实施攻击。这段命令会通过curl工具请求一个经Base64编码的URL，并将AMOS恶意载荷（install.sh脚本）下载到设备的/tmp目录（临时目录）。

攻击背景与防御建议

针对苹果电脑的ClickFix攻击并非首次出现。此前也有过类似活动，例如Booking.com的攻击，以及近期通过广告推广“macOS特定问题解决方案”的虚假应用攻击。

尽管LastPass仍在持续监控此次攻击，并向GitHub举报虚假仓库，但攻击者可通过自动化工具用新账号快速创建新仓库，导致攻击难以彻底遏制。

为避免遭遇ClickFix攻击，LastPass建议用户采取以下措施：

1. 切勿在系统中运行自身不理解的命令；

2. 在线查找软件时，优先通过软件厂商或项目的官方网站获取安装包——若官网未提供macOS版本，声称提供“非官方版”的渠道大概率为虚假；

3. 若需使用第三方移植的macOS版本，需确认提供方为大众认可的知名机构，且经过安全性验证。