科技媒体bleepingcomputer最新披露的一则安全警报显示,知名密码管理工具LastPass近期遭遇黑客精准打击,其攻击手法涉及在GitHub上大规模伪造热门应用镜像。据悉,黑客精心伪造了超过100款热门应用,包括LastPass、1Password、Dropbox等知名软件,通过娴熟的SEO优化技术大幅提升搜索排名,专门针对macOS用户实施钓鱼攻击,诱导其下载名为Atomic的恶意窃密木马。
这些伪造的应用仓库在外观上与官方版本几乎无异,但暗藏玄机。用户在下载过程中,一旦执行终端命令,便会触发curl请求,从而下载植入恶意脚本。值得注意的是,黑客还利用了”恶意软件即服务”的商业模式,每月收取约1000美元的租金,提供包括窃取敏感信息、植入后门等在内的全套攻击服务。尽管LastPass团队持续向GitHub举报这些虚假仓库,但黑客凭借自动化工具的快速重建能力,总能迅速恢复钓鱼页面。
安全专家对此发出紧急预警,强烈建议macOS用户务必坚持从官方渠道下载软件,切勿随意执行来源不明的终端命令。同时要特别警惕任何未经macOS官方认证的软件版本,因为这类应用极有可能携带恶意代码。随着黑客攻击手法的不断升级,用户提升安全防范意识已刻不容缓。保护个人数据安全,需要我们时刻保持警惕,选择正规渠道,拒绝不明链接。
