2025年9月、LastPassのThreat Intelligence, Mitigation, and Escalation(TIME)チームはmacユーザーを狙う情報窃取キャンペーンが拡大していると警告しています。
手順としてはGitHub上で企業名を装ったリポジトリやGitHub Pagesを量産し、SEOで検索結果に押し上げて偽のインストール手順へ誘導します。
サイバー攻撃の概要
LastPassのThreat Intelligence, Mitigation, and Escalation(TIME)チームは、Macユーザーを標的にした広範な情報窃取キャンペーンを確認しました。
攻撃者はGitHub上で企業名をかたるリポジトリやGitHub Pagesを量産し、
検索エンジン最適化(SEO)で「○○(企業名) Mac」「Install on MacBook」などのキーワード検索結果に露出させ、偽の「インストール手順」へ誘導します。
最終的に被害者の端末へAtomic Stealer(Macユーザー向けマルウェア)をダウンロード・実行させ、ウォレットやブラウザ保存情報、キーチェーン等の窃取を狙います。
攻撃の狙いと特徴
本キャンペーンはブランドなりすまし×SEOポイズニングで検索結果からの流入を狙い、
GitHub Pages → 中間サイト → curl経由のシェルスクリプト → 2段目ペイロード(Atomic)という多段リダイレクトで防御の目をかいくぐります。ユーザーにスクリプトの内容を見せずに実行させる(curl | sh型)点が実行成功率を押し上げています。
このキャンペーンは「GitHubは安全」という心理的バイアスを突いています。本キャンペーン以外にもシステムエンジニア向けのサイバー攻撃は、正規サービスに偽装するアドバタイジング攻撃やnpmのパッケージにペイロードを含めるなどソーシャルエンジニアリング攻撃が活発になっています。
侵入の兆候(IoC 抜粋)
-
主な誘導先
-
ahoastock825[.]github[.]io/.github/lastpass -
macprograms-pro[.]com/mac-git-2-download.html -
bonoud[.]com/get3/install.sh/bonoud[.]com/get3/update
-
-
GitHubリポジトリの例(一部):
github[.]com/lastpass-on-macbook、github[.]com/LastPass-on-MacBook/lastpass-premium-mac-download、github[.]com/1password-on-Macbook-Desktop、github[.]com/Dropbox-on-Macbook、github[.]com/Shopify-on-MacBook、github[.]com/SentinelOne-on-MacBook、github[.]com/Raycast-App-on-Mac、github[.]com/DefiLlama-on-Mac-Desktop-Appほか多数。 -
ハッシュ
-
Atomic Stealer(例):
e52dd70113d1c6eb9a09eafa0a7e7bcf1da816849f47ebcdc66ec9671eb9b350
-
出典








