LastPass、macOSをAtomicスティーラーに感染させる偽のGitHubリポジトリについて注意喚起

佐々山 Tacos

2025.09.22

LastPass、macOSをAtomicスティーラーに感染させる偽のGitHubリポジトリについて注意喚起

The Hacker News – Sep 20, 2025

正規ツールに見せかけたマルウェア付きプログラムを配布する偽のGitHubリポジトリを使い、macOS向けスティーラーマルウェアを配布しようとする広範なキャンペーンについて、LastPassが警告。ClickFix様の手法でMacユーザーを狙うこのキャンペーンでは、LastPassのほかにも、1PasswordやBasecamp、Dropbox、Gemini、Hootsuite、Notion、Obsidian、Robinhood、Salesloft、SentinelOne、Shopify、Thunderbird、TweetDeckなどのツールがなりすましの対象になっているという。

LastPassによれば、9月16日に「modhopmduck476」というユーザーがLastPassのものに見せかけた2つのページ（現在は非アクティブ）をGitHub上にアップ。これらのサイトは、SEOポイズニングの手法を使ってBingやGoogleなどの検索エンジンで上位に表示されるよう細工されていた。いずれのページにも「MacBook版LastPassのインストール」ボタンとされるものが掲載されており、これをクリックするとhxxps://ahoastock825[.]github[.]io/.github/lastpassというページにリダイレクトされるようになっていたという。続くリダイレクト先の「macprograms-pro[.]com/mac-git-2-download.html」では、あるコマンドをMacのターミナルにコピー・ペーストするよう要求されるが、ユーザーがこれに従うとAtomicスティーラー（別称AMOS）のペイロードがダウンロードされることになる。

LastPassはこの攻撃について注意喚起したブログ記事の中で、同様のキャンペーンについて紹介したDhiraj Mishra氏の記事も紹介。Mishra氏が伝えた攻撃では、macOS向けツール「Homebrew」の広告に見せかけた悪意あるGoogle広告を使い、不正なGitHubリポジトリ経由で多段階ドロッパーが配布されていた。