Underc0de - La Casa de los Informáticos

La seguridad informática vuelve a estar en el centro de atención tras una seria advertencia de LastPass, el reconocido gestor de contraseñas. Su equipo de inteligencia ha identificado una campaña de robo de información a gran escala dirigida específicamente a usuarios de Apple macOS. El ataque utiliza repositorios falsos de GitHub que se hacen pasar por herramientas legítimas para engañar a los usuarios y distribuir el temido malware Atomic Stealer (AMOS).

Una amenaza disfrazada de legitimidad

Según los investigadores Alex Cox, Mike Kosak y Stephanie Schneider, del equipo de Inteligencia de Amenazas, Mitigación y Escalada (TIME) de LastPass, la operación maliciosa utiliza repositorios fraudulentos que redirigen a los usuarios a descargas infectadas.

En el caso de LastPass, los atacantes crearon páginas que simulaban ser oficiales, con botones llamativos como "Instalar LastPass en MacBook". Al hacer clic, los usuarios eran redirigidos a un repositorio manipulado en GitHub, desde donde se desplegaba Atomic Stealer, un malware especializado en robar credenciales, datos financieros y archivos sensibles.

Pero LastPass no ha sido la única marca afectada. Entre las herramientas populares suplantadas en esta campaña se encuentran:

• 1Password
• Basecamp
• Dropbox
• Gemini
• Hootsuite
• Notion
• Obsidian
• Robinhood
• Salesloft
• SentinelOne
• Shopify
• Thunderbird
• TweetDeck

Esto demuestra que los actores de amenazas apuntan a un ecosistema mucho más amplio que va más allá de LastPass, con un enfoque claro en usuarios de macOS que confían en software de productividad, gestión y seguridad.

SEO envenenado: una técnica peligrosa

Un aspecto especialmente preocupante de esta campaña es el envenenamiento de motores de búsqueda (SEO poisoning). Los atacantes manipulan el posicionamiento en Google y Bing para que los enlaces maliciosos aparezcan en los primeros resultados de búsqueda.

De esta forma, cuando los usuarios buscan frases como "descargar LastPass para Mac" o "instalar Notion en macOS", son dirigidos a páginas falsas de GitHub que parecen legítimas, pero que en realidad llevan a repositorios controlados por los atacantes.

Un vector de ataque cada vez más sofisticado

Las páginas de GitHub creadas por los ciberdelincuentes presentan múltiples nombres de usuario diferentes, lo que dificulta su eliminación inmediata por parte de la plataforma. Además, incluyen instrucciones fraudulentas estilo ClickFix, que animan al usuario a copiar y pegar comandos en la aplicación Terminal de macOS.

Una vez ejecutados, estos comandos instalan silenciosamente el malware Atomic Stealer, que se activa en segundo plano sin levantar sospechas.

Antecedentes: un patrón de abuso de GitHub

Este no es un caso aislado. De acuerdo con el investigador de seguridad Dhiraj Mishra, campañas similares han explotado Google Ads maliciosos vinculados a Homebrew, el popular gestor de paquetes para macOS. En esos ataques, los usuarios eran redirigidos a repositorios falsos de GitHub donde se descargaban cuentagotas (droppers) de múltiples etapas capaces de evadir análisis en entornos virtuales y establecer comunicación con servidores remotos de comando y control.

En las últimas semanas también se ha detectado el uso de GitHub para distribuir cargas maliciosas relacionadas con Amadey y para aprovechar confirmaciones colgantes en repositorios oficiales, una técnica diseñada para redirigir a los usuarios hacia programas maliciosos de manera casi invisible.

¿Por qué macOS se ha convertido en objetivo?

Durante años, los usuarios de macOS se sintieron relativamente seguros frente a las amenazas que afectaban con mayor frecuencia a Windows. Sin embargo, esta percepción ya no corresponde a la realidad. La creciente popularidad de los dispositivos de Apple en entornos corporativos y personales los ha convertido en un objetivo atractivo para el cibercrimen.

Herramientas como Atomic Stealer demuestran que los atacantes están invirtiendo recursos en desarrollar malware especializado en macOS, capaz de:

• Extraer contraseñas de gestores como Chrome, Safari o incluso LastPass.
• Robar llaves de autenticación y carteras de criptomonedas.
• Acceder a archivos sensibles almacenados localmente.
• Monitorear la actividad del usuario sin ser detectados.

Cómo protegerse de Atomic Stealer y ataques similares

Ante esta creciente amenaza, LastPass y expertos en ciberseguridad recomiendan medidas esenciales de protección:

• Descargar software únicamente desde sitios oficiales (nunca desde enlaces en buscadores sin verificar).
• Verificar la autenticidad de los repositorios en GitHub, revisando el historial, las confirmaciones y la reputación del autor.
• Evitar ejecutar comandos en Terminal si provienen de fuentes no verificadas.
• Mantener actualizado macOS y todas las aplicaciones, para reducir vulnerabilidades explotables.
• Usar soluciones de seguridad avanzadas que permitan detectar malware específico para macOS.

En fin...

El caso de LastPass y el malware Atomic Stealer es un recordatorio claro de que ningún sistema operativo es inmune a los ciberataques. El uso de repositorios falsos en GitHub y la manipulación de SEO en buscadores son técnicas cada vez más comunes que buscan aprovechar la confianza del usuario.

Tanto individuos como empresas deben reforzar sus medidas de ciberseguridad, adoptar prácticas de cero confianza y mantenerse alerta ante descargas sospechosas. La creciente sofisticación de estos ataques demuestra que los ciberdelincuentes no descansan y que la prevención sigue siendo la mejor defensa.

Fuente: https://thehackernews.com/