Mac ユーザーを狙う大規模なサイバー攻撃-GitHub Pagesで企業名を装いマルウェアをダウンロードさせる

セキュリティニュース

投稿日時: 更新日時:

Mac ユーザーを狙う大規模なサイバー攻撃-GitHub Pagesで企業名を装いマルウェアをダウンロードさせる

2025年9月、LastPassのThreat Intelligence, Mitigation, and Escalation(TIME)チームはmacユーザーを狙う情報窃取キャンペーンが拡大していると警告しています。

手順としてはGitHub上で企業名を装ったリポジトリやGitHub Pagesを量産し、SEOで検索結果に押し上げて偽のインストール手順へ誘導します。

サイバー攻撃の概要

LastPassのThreat Intelligence, Mitigation, and Escalation(TIME)チームは、Macユーザーを標的にした広範な情報窃取キャンペーンを確認しました。

攻撃者はGitHub上で企業名をかたるリポジトリやGitHub Pagesを量産し、

検索エンジン最適化(SEO)で「○○(企業名) Mac」「Install on MacBook」などのキーワード検索結果に露出させ、偽の「インストール手順」へ誘導します。

最終的に被害者の端末へAtomic Stealer(Macユーザー向けマルウェア)をダウンロード・実行させ、ウォレットやブラウザ保存情報、キーチェーン等の窃取を狙います。

攻撃の狙いと特徴

本キャンペーンはブランドなりすまし×SEOポイズニングで検索結果からの流入を狙い、

GitHub Pages → 中間サイト → curl経由のシェルスクリプト → 2段目ペイロード(Atomic)という多段リダイレクトで防御の目をかいくぐります。ユーザーにスクリプトの内容を見せずに実行させる(curl | sh型)点が実行成功率を押し上げています。

このキャンペーンは「GitHubは安全」という心理的バイアスを突いています。本キャンペーン以外にもシステムエンジニア向けのサイバー攻撃は、正規サービスに偽装するアドバタイジング攻撃npmのパッケージにペイロードを含めるなどソーシャルエンジニアリング攻撃が活発になっています。

侵入の兆候(IoC 抜粋)

  • 主な誘導先

    • ahoastock825[.]github[.]io/.github/lastpass

    • macprograms-pro[.]com/mac-git-2-download.html

    • bonoud[.]com/get3/install.sh / bonoud[.]com/get3/update

  • GitHubリポジトリの例(一部):
    github[.]com/lastpass-on-macbookgithub[.]com/LastPass-on-MacBook/lastpass-premium-mac-downloadgithub[.]com/1password-on-Macbook-Desktopgithub[.]com/Dropbox-on-Macbookgithub[.]com/Shopify-on-MacBookgithub[.]com/SentinelOne-on-MacBookgithub[.]com/Raycast-App-on-Macgithub[.]com/DefiLlama-on-Mac-Desktop-App ほか多数。

  • ハッシュ

    • Atomic Stealer(例):e52dd70113d1c6eb9a09eafa0a7e7bcf1da816849f47ebcdc66ec9671eb9b350

出典

Large-Scale Attack Targeting Macs via GitHub Pages Impersonating Companies to Attempt to Deliver Stealer Malware