利用GitHub Pages向macOS用户分发臭名昭著的原子窃取恶意软件的复杂网络攻击活动。 

此次行动背后的威胁行为者正利用搜索引擎优化（SEO）技术，将恶意代码库置于谷歌和必应等主要平台搜索结果的顶部，目标是那些搜索科技公司、金融机构和密码管理服务的合法软件的用户。

该活动展示了一种多层次的手法，网络犯罪分子通过创建虚假的GitHub代码库，伪装成官方软件分销商。

当受害者搜索特定应用程序时，被篡改的搜索结果会将他们重定向到恶意的GitHub Pages，这些页面上托管着看似合法的软件安装程序。

LastPass威胁情报、缓解与升级（TIME）团队在发现两个专门针对其客户的欺诈性代码库后识别出了这一威胁，这两个代码库均由用户“modhopmduck476”于2025年9月16日创建。

Atomic Stealer攻击活动针对macOS用户

攻击链始于受害者通过搜索引擎优化投毒的搜索结果遇到恶意的GitHub Pages。

这些代码仓库包含具有欺骗性的“在 MacBook 上安装 [公司]”链接，这些链接会将用户重定向到次要的暂存站点。

在LastPass事件中，受害者被重定向至hxxps://ahoastock825[.]github[.]io/.github/lastpass，该链接随后将他们转发至macprograms-pro[.]com/mac-git-2-download.html。

次要站点指示用户执行一个终端命令，该命令会对经过base64编码的URL执行CURL请求。

这个编码的URL指向bonoud[.]com/get3/install.sh，该URL会将伪装成系统“更新”的恶意载荷下载到临时目录。

下载的文件实际上是Atomic stealer恶意软件，也被称为AMOS恶意软件，自2023年4月起就在网络犯罪圈子中活跃。

“Atomic Stealer”是一种复杂的信息窃取威胁，专门针对macOS环境设计。

这种恶意软件能够窃取敏感数据，包括密码、浏览器Cookie、加密货币钱包信息和系统凭证。

一旦安装，它会在受感染的系统上建立持久存在，并与命令与控制（C2）服务器通信，以窃取数据。

这些威胁行为者通过创建多个GitHub用户名来规避下架措施，展现出了运营韧性。

这种分布式方法使他们能够在个别仓库被举报和移除的情况下，仍能维持其恶意基础设施。

这场攻击活动的范围不仅限于LastPass，安全研究人员发现，通过相同的战术、技术和程序（TTPs），各类科技公司和金融机构也遭到了类似攻击。

LastPass已成功协调移除了已识别的恶意代码库，并持续监控其他威胁。

该公司建议macOS用户在通过搜索结果下载软件时保持谨慎，并在执行终端命令或从未经官方认证的来源安装应用程序前，务必核实仓库的真实性。