LastPass : une nouvelle menace cible les utilisateurs Mac via GitHub

Une cyberattaque sophistiquée exploite la plateforme GitHub pour cibler les utilisateurs de Mac, en utilisant des dépôts frauduleux pour distribuer un malware dangereux. LastPass, un gestionnaire de mots de passe bien connu, figure parmi les victimes de cette campagne qui s’étend à de nombreuses entreprises technologiques. Découvrez comment ces cybercriminels parviennent à tromper les utilisateurs et quelles mesures sont en place pour contrer cette menace.

Les 3 points clés à retenir

• Des cybercriminels usurpent les identités de marques sur GitHub pour diffuser un malware ciblant les utilisateurs Mac.
• Plus d’une centaine d’entreprises, dont LastPass, ont été touchées par ces attaques.
• Le malware, connu sous le nom d’Atomic Stealer, vole des informations personnelles, notamment des mots de passe et des données bancaires.

Le stratagème sur GitHub

Les ingénieurs de LastPass ont mis en lumière une opération menée par des cybercriminels qui utilisent des comptes GitHub frauduleux pour distribuer un logiciel malveillant. Ce malware, spécifiquement conçu pour les utilisateurs de Mac, vise à dérober des informations personnelles importantes.

Pour atteindre un large public, ces malfaiteurs exploitent intensivement les techniques de référencement. Ainsi, les pages frauduleuses qu’ils créent apparaissent en tête des résultats de moteurs de recherche comme Google et Bing, augmentant ainsi leurs chances de piéger des utilisateurs.

Les entreprises ciblées et le mode opératoire

Un grand nombre d’entreprises technologiques, de gestionnaires de mots de passe et d’institutions financières ont été victimes de cette campagne. Parmi ces entités figurent 1Password, Dropbox, et Shopify. Les pages frauduleuses imitent celles de ces entreprises, ce qui trompe facilement les utilisateurs.

Les attaquants utilisent plusieurs noms d’utilisateur pour éviter que leurs comptes ne soient supprimés, en intégrant systématiquement des termes liés à Mac dans leurs titres pour cibler cette plateforme spécifique.

Le fonctionnement du malware

Le processus d’infection commence par une chaîne de redirections complexes qui masquent la nature véritable du piège. Lorsqu’un utilisateur clique sur un lien tel que « Install LastPass on MacBook », il est d’abord redirigé vers une page GitHub frauduleuse, puis vers un site qui incite à exécuter une commande dans le Terminal du Mac.

Cette commande télécharge un script qui installe un fichier nommé « Update » dans le répertoire temporaire du système. Derrière ce nom anodin se cache le malware Atomic Stealer, également connu sous le nom AMOS, qui est en circulation depuis avril 2023.

Historique des attaques via GitHub

GitHub, une plateforme de développement appartenant à Microsoft, a déjà été utilisée par des cybercriminels pour propager des logiciels malveillants. En février dernier, le malware GitVenom avait été découvert, ciblant les amateurs de crypto-monnaies. En juin, un infostealer a affecté plus de 1 500 joueurs de Minecraft, volant leurs mots de passe et portefeuilles crypto.

LastPass est un gestionnaire de mots de passe populaire, reconnu pour sa sécurité et sa fonctionnalité de stockage de mots de passe chiffrés. Bien que la plateforme elle-même n’ait pas été directement compromise, elle reste une cible privilégiée pour les cybercriminels cherchant à exploiter la confiance que lui accordent ses utilisateurs.