- Atomic Stealer installe silencieusement via de fausses pages GitHub visant les utilisateurs de Mac
- Des attaquants créent plusieurs comptes GitHub pour contourner à répétition les suppressions sur la plateforme
- Les utilisateurs qui copient des commandes depuis des sites non vérifiés s’exposent à une compromission grave du système
Des chercheurs en cybersécurité alertent les utilisateurs d’Apple Mac sur une campagne utilisant de faux dépôts GitHub pour diffuser des maliciels et des voleurs d’informations.
Des recherches menées par les analystes LastPass Threat Intelligence, Mitigation, and Escalation (TIME) révèlent que des attaquants usurpent l’identité d’entreprises reconnues pour convaincre les personnes de télécharger de faux logiciels Mac.
Deux pages GitHub frauduleuses prétendant proposer LastPass pour Mac ont été repérées pour la première fois le 16 septembre 2025 sous le nom d’utilisateur « modhopmduck476 ».
Comment fonctionne la chaîne d’attaque
Bien que ces pages particulières aient été supprimées, l’incident illustre un schéma plus large en constante évolution.
Les fausses pages GitHub comportaient des liens libellés « Install LastPass on MacBook », redirigeant vers hxxps://ahoastock825[.]github[.]io/.github/lastpass.
De là, les utilisateurs étaient envoyés vers macprograms-pro[.]com/mac-git-2-download.html et invités à coller une commande dans le terminal de leur Mac.
Cette commande utilisait une requête CURL pour récupérer une URL encodée en base64 qui, une fois décodée, pointait vers bonoud[.]com/get3/install.sh.
Le script livrait ensuite une charge utile « Update » qui installait Atomic Stealer (le maliciel AMOS) dans le répertoire Temp.
Atomic Stealer, actif depuis avril 2023, est un voleur d’informations connu, employé par des groupes cybercriminels motivés financièrement.
Les enquêtes ont relié cette campagne à de nombreux autres dépôts frauduleux usurpant des entreprises allant d’institutions financières à des applications de productivité.
La liste des noms visés inclut 1Password, Robinhood, Citibank, Docker, Shopify, Basecamp et de nombreux autres.
Les attaquants semblent créer plusieurs noms d’utilisateur GitHub pour contourner les suppressions, en utilisant l’optimisation pour les moteurs de recherche (SEO) afin de remonter leurs liens malveillants dans les résultats Google et Bing.
Cette technique augmente les chances que des utilisateurs Mac recherchant des téléchargements légitimes tombent d’abord sur les pages frauduleuses.
LastPass indique qu’il « surveille activement cette campagne » tout en travaillant sur les suppressions et en partageant des indicateurs de compromission pour aider à détecter les menaces.
L’usage de GitHub Pages par les attaquants met en lumière à la fois la praticité et les risques des plateformes communautaires.
Les dépôts frauduleux peuvent être créés rapidement et, si GitHub peut les supprimer, les attaquants reviennent souvent sous de nouveaux alias.
Ce cycle soulève des questions sur l’efficacité des protections offertes aux utilisateurs par ces plateformes.
Comment rester en sécurité
- Ne télécharger que des logiciels depuis des sources vérifiées pour éviter les risques de maliciels et de rançongiciels.
- Éviter de copier des commandes depuis des sites inconnus afin de prévenir l’exécution non autorisée de code.
- Maintenir macOS et tous les logiciels installés à jour pour réduire les vulnérabilités.
- Utiliser un antivirus ou une solution de sécurité reconnue incluant une protection contre les rançongiciels pour bloquer les menaces.
- Activer des sauvegardes régulières du système pour pouvoir récupérer les fichiers en cas d’impact d’un rançongiciel ou d’un maliciel.
- Rester sceptique face aux liens, courriels et pop-ups inattendus afin de minimiser l’exposition.
- Suivre les avis officiels des fournisseurs de confiance pour obtenir des mises à jour de sécurité et des recommandations.
- Configurer des mots de passe solides et uniques et activer l’authentification à deux facteurs pour les comptes importants.
Vous aimerez aussi
