Una nueva campaña de robo de información en marcha
LastPass ha emitido una advertencia sobre una campaña activa y generalizada que tiene como objetivo a usuarios de macOS, utilizando repositorios falsos en GitHub para distribuir programas maliciosos disfrazados de herramientas legítimas.
El malware detectado corresponde a Atomic Stealer (AMOS), un infostealer diseñado para robar contraseñas, datos financieros y credenciales almacenadas en el dispositivo.
Ingeniería social combinada con SEO malicioso
Los atacantes están empleando una técnica conocida como SEO poisoning para manipular los resultados de búsqueda en Google y Bing. De esta manera, cuando un usuario busca instalar una aplicación legítima, entre los primeros resultados aparece un enlace que redirige hacia un repositorio fraudulento en GitHub.
En el caso de LastPass, el botón “Install LastPass on MacBook” lleva a la víctima a un dominio malicioso que termina ejecutando instrucciones en la aplicación Terminal del sistema operativo, lo que finalmente descarga e instala el Atomic Stealer.
Herramientas más imitadas en la campaña
La operación no se limita a LastPass. Entre los servicios y aplicaciones suplantadas se encuentran:
1Password
Dropbox
Notion
Obsidian
Robinhood
Thunderbird
Shopify
SentinelOne
Hootsuite
TweetDeck
y otros softwares muy utilizados tanto a nivel empresarial como personal.
Esto amplía el rango de víctimas potenciales, ya que muchas de estas herramientas son populares en entornos corporativos.
Técnicas adicionales de persistencia
Según LastPass, los atacantes crean múltiples cuentas en GitHub para evadir las eliminaciones de repositorios falsos. Además, el uso de páginas ClickFix-style, que instruyen paso a paso al usuario para copiar y ejecutar comandos, incrementa la efectividad del engaño.
Otros investigadores han señalado que tácticas similares han sido vistas antes en campañas que utilizaban Google Ads maliciosos, repositorios falsos de Homebrew y técnicas avanzadas para evadir entornos de análisis y máquinas virtuales.
Recomendaciones para empresas y usuarios de macOS
Verificar siempre las fuentes oficiales al descargar software, preferiblemente desde sitios web corporativos o tiendas oficiales (App Store).
Desconfiar de repositorios desconocidos en GitHub, incluso si aparecen en primeros lugares en buscadores.
Restringir permisos administrativos y educar a los usuarios sobre los riesgos de copiar y ejecutar comandos desde fuentes no verificadas.
Monitorear endpoints con soluciones de EDR que puedan detectar comportamientos anómalos de infostealers como Atomic.
Aplicar políticas de control de descargas en entornos corporativos para limitar la instalación de software no autorizado.
Una amenaza en evolución constante
El uso de repositorios falsos en GitHub refleja cómo los actores maliciosos aprovechan plataformas de confianza para distribuir malware, explotando la costumbre de los usuarios de buscar soluciones rápidas en internet.
Para las empresas, este tipo de campañas refuerza la necesidad de programas de concienciación en ciberseguridad, controles técnicos robustos y un monitoreo constante de amenazas emergentes.
