近期，安全研究人员发现有黑客利用GitHub平台，伪装成LastPass、1Password、Dropbox等一百多款热门软件，诱导macOS用户下载安装植入窃密功能的恶意程序。攻击者通过搜索引擎优化技术提升虚假GitHub仓库排名，吸引用户下载，并引导用户在终端执行命令，从而激活名为Atomic macOS Stealer（AMOS）的恶意软件。AMOS是一种“恶意软件即服务”，可窃取设备敏感信息，并已更新后门机制以实现持久化远程访问。尽管企业已持续监测并举报，但攻击者通过自动化手段屡禁不止。安全建议用户避免执行未知终端指令，并仅从官方渠道下载软件。

🕵️‍♂️ **GitHub平台被滥用进行网络钓鱼：** 黑客利用GitHub创建虚假软件下载页面，冒充LastPass、1Password、Dropbox等百余款知名应用程序，以欺骗macOS用户下载恶意软件。攻击者通过SEO技术提高这些虚假仓库的搜索排名，增加用户误点的概率。

💻 **恶意软件AMOS窃取敏感信息：** 用户一旦执行伪造软件的安装命令，即会下载并激活名为Atomic macOS Stealer（AMOS）的恶意软件。AMOS是一种“恶意软件即服务”，月租金约1000美元，其主要功能是窃取受感染设备上的各类敏感信息，并且已更新后门机制，允许攻击者进行持久化、隐蔽的远程访问。

🛡️ **规避监管与安全建议：** 攻击者使用多个GitHub账号批量创建虚假项目，并在被下架后迅速重建，导致钓鱼页面屡禁不止。安全建议用户务必避免执行来源不明的终端指令，所有软件均应通过官方网站或经过认证的渠道获取，并对非官方渠道提供的macOS版本软件保持高度警惕。

2025-09-23 10:40:47  作者：狼叫兽

9月23日，有安全研究显示，密码管理工具LastPass发布最新安全提醒，指出近期出现黑客利用GitHub平台伪装成多款热门软件的行为，诱导macOS用户下载安装含有窃密功能的恶意程序。这些伪造的应用程序冒充包括LastPass、1Password、Dropbox以及Robinhood等在内的超过百款知名软件，覆盖密码管理、云存储和金融投资等多个类别。

攻击者通过搜索引擎优化技术，使伪造的GitHub仓库在主流搜索引擎中获得较高排名，增加用户误访几率。一旦用户点击页面上的“下载”按钮，将被引导至第三方网站，并被提示在终端中执行特定命令以完成安装。该命令会发起curl请求，从一个经base64编码的URL地址下载名为install.sh的脚本文件至系统/tmp临时目录，从而激活恶意软件Atomic macOS Stealer（简称AMOS）。

AMOS属于“恶意软件即服务”类型，目前租赁费用约为每月1000美元，主要功能为窃取受感染设备中的敏感信息。近期该恶意软件还更新了后门机制，允许攻击者对目标系统实现持久化、隐蔽性远程访问，显著提升安全威胁等级。

为逃避平台监管，攻击者使用多个GitHub账号批量创建虚假项目仓库，并在被举报下架后迅速重建。尽管相关企业已持续监测并提交违规内容报告，但自动化生成手段使得钓鱼页面屡禁不止。

安全建议指出，用户应避免执行来源不明的终端指令，所有软件均应通过官方网站或认证渠道获取。若某款软件官方明确未提供macOS版本，则相关下载极有可能为伪造，需高度警惕。