Advarer Mac-brugere: Kriminelle bruger denne populære hjemmeside til at ramme dig med malware 

Forskning fra LastPass Threat Intelligence, Mitigation, and Escalation (TIME)-analytikere viser, at kriminelle udgiver sig for at være velkendte virksomheder for at overbevise folk om at downloade falsk Mac-software.

To falske GitHub-sider, der udgav sig for at tilbyde LastPass til Mac, blev først opdaget den 16. september 2025 under brugernavnet ‘modhopmduck476’. Selvom disse specifikke sider er blevet fjernet, peger hændelsen på et bredere mønster, der fortsat udvikler sig.

De falske GitHub-sider indeholdt links mærket ‘Installer LastPass på MacBook’, som omdirigerede til hxxps://ahoastock825[.]github[.]io/.github/lastpass.

Derfra blev brugere sendt til macprograms-pro[.]com/mac-git-2-download.html og instrueret i at indsætte en kommando i deres Macs terminal. Kommandoen brugte en CURL-anmodning til at hente en base64-kodet URL, der blev dekodet til bonoud[.]com/get3/install.sh.

Scriptet leverede derefter en ‘Update’-payload, der installerede Atomic Stealer (AMOS-malware) i Temp-mappen. Atomic Stealer, som har været aktiv siden april 2023, er en kendt infostealer, der bruges af økonomisk motiverede cyberkriminelle grupper.

Efterforskere har knyttet denne kampagne til mange andre falske repositorier, der udgiver sig for virksomheder fra finansinstitutioner til produktivitetsapps. Listen over mål inkluderer 1Password, Robinhood, Citibank, Docker, Shopify, Basecamp og mange andre.

De kriminelle ser ud til at oprette flere GitHub-brugernavne for at omgå fjernelser og bruger søgemaskineoptimering til at skubbe deres ondsindede links højere op i søgeresultater på Google og Bing.

Denne teknik øger sandsynligheden for, at Mac-brugere, der leder efter legitime downloads, støder på de falske sider først.

LastPass udtaler, at de ‘aktivt overvåger denne kampagne’, mens de arbejder på at få siderne fjernet og deler indikatorer for at hjælpe andre med at opdage trusler. De kriminelles brug af GitHub Pages viser både bekvemmeligheden og risiciene ved denne type platforme.

Falske repositorier kan opsættes hurtigt, og selvom GitHub kan fjerne dem, vender de ondsindede hackere ofte tilbage under nye navne. Denne cyklus rejser spørgsmål om, hvor effektivt sådanne platforme kan beskytte brugere.

Sådan holder du dig sikker

• Download kun software fra verificerede kilder for at undgå malware og ransomware.
• Undgå at kopiere kommandoer fra ukendte hjemmesider for at forhindre uautoriseret kode.
• Hold macOS og al installeret software opdateret for at reducere sårbarheder.
• Brug den bedste antivirus- eller sikkerhedssoftware, som inkluderer ransomware-beskyttelse.
• Aktivér regelmæssige backups for at gendanne filer, hvis ransomware eller malware rammer.
• Vær skeptisk over for uventede links, e-mails og pop op-vinduer for at minimere risiko.
• Følg officielle sikkerhedsråd fra betroede udbydere for rettidige opdateringer og vejledning.
• Brug stærke, unikke adgangskoder og aktiver to-faktor-godkendelse til vigtige konti