Campaña masiva de malware en macOS: falsos repositorios GitHub distribuyen Atomic Stealer
Introducción
En las últimas semanas, expertos en ciberseguridad han detectado una campaña activa y de gran alcance dirigida a usuarios de Apple macOS, centrada en el robo de información confidencial mediante la distribución de malware a través de repositorios fraudulentos en GitHub. El equipo de seguridad de LastPass ha emitido una alerta tras identificar que actores maliciosos están aprovechando el nombre y la reputación de la compañía, así como de otros proyectos legítimos, para engañar a potenciales víctimas con programas infectados que simulan ser herramientas auténticas. El malware implicado, Atomic Stealer (AMOS), es una de las amenazas más sofisticadas y extendidas en el ecosistema macOS durante 2024.
Contexto del Incidente
La campaña detectada se apoya en la creación de repositorios en GitHub que imitan proyectos populares, incluidos gestores de contraseñas y utilidades conocidas por la comunidad de macOS. Estos repositorios fraudulentos replican el aspecto y contenido de los originales, pero incluyen enlaces modificados que redirigen a instaladores infectados. En el caso específico de LastPass, los usuarios que buscan la aplicación legítima son conducidos a un repositorio manipulado que, tras un clic, descarga el malware Atomic Stealer.
Este modus operandi no es nuevo, pero la profesionalización y escala alcanzadas suponen un salto cualitativo. El uso de plataformas de referencia como GitHub permite a los atacantes aprovechar la confianza depositada por desarrolladores y usuarios avanzados en dicho entorno, dificultando la detección temprana y la atribución directa de los ataques.
Detalles Técnicos
El malware principal distribuido en esta campaña es Atomic Stealer (AMOS), identificado inicialmente en 2023 e intensamente evolucionado desde entonces. AMOS está diseñado específicamente para sistemas macOS y su objetivo es la exfiltración de información sensible: credenciales almacenadas en el llavero de macOS, datos de navegadores (incluyendo contraseñas, cookies y autofill), wallets de criptomonedas y documentos.
Hasta el momento, la campaña se ha documentado en repositorios que simulan ser LastPass, 1Password y otras herramientas populares de código abierto en macOS. Los actores de la amenaza emplean técnicas de SEO poisoning y campañas de Google Ads maliciosas para posicionar sus enlaces fraudulentos en los primeros resultados de búsqueda.
El vector de ataque se basa en la ingeniería social y la manipulación de repositorios GitHub. Al descargar el supuesto instalador, el usuario ejecuta un binario firmado con certificados robados o caducados, eludiendo controles básicos de Gatekeeper y XProtect en versiones anteriores a macOS Ventura 13.3. Una vez ejecutado, AMOS solicita permisos de accesibilidad e intenta obtener privilegios elevados mediante técnicas de T1027 (Obfuscated Files or Information) y T1059 (Command and Scripting Interpreter) del framework MITRE ATT&CK.
Los principales indicadores de compromiso (IoC) incluyen hashes SHA256 de los binarios maliciosos, URLs de descarga apócrifas, patrones específicos en archivos de preferencias modificados y conexiones a C2 conocidos asociados al malware. El exploit es comercializado en foros clandestinos y se han detectado variantes adaptadas para evadir soluciones EDR convencionales.
Impacto y Riesgos
El alcance de la campaña es significativo: según informes de inteligencia de amenazas, hasta un 18% de los intentos de descarga de herramientas populares en GitHub durante el mes de mayo correspondieron a repositorios maliciosos. El impacto económico potencial es elevado, especialmente para organizaciones que gestionan información sensible en macOS, como despachos de abogados, estudios de arquitectura y startups tecnológicas.
La exfiltración de credenciales de acceso, datos bancarios y wallets de criptomonedas puede derivar en brechas de seguridad sujetas a sanciones bajo el GDPR y obligaciones de notificación según la directiva NIS2, con multas que pueden superar el 2% de la facturación anual.
Medidas de Mitigación y Recomendaciones
Para mitigar el riesgo, se recomienda:
– Descargar software exclusivamente de repositorios oficiales verificados y evitar enlaces de terceros en buscadores.
– Verificar la firma digital de los binarios y la procedencia del desarrollador antes de ejecutar cualquier instalador.
– Mantener actualizado macOS, especialmente a partir de versiones 13.3, donde Gatekeeper y XProtect refuerzan la detección de binarios no firmados.
– Monitorizar endpoints con soluciones EDR específicas para macOS y actualizar las reglas YARA con los IoC publicados.
– Configurar políticas de restricción de ejecución de binarios en entornos gestionados (MDM).
– Implementar campañas de concienciación sobre ingeniería social para todos los usuarios con acceso privilegiado.
Opinión de Expertos
Alex Cox y Mike Kosak, investigadores de LastPass, advierten: “La profesionalización de los ataques dirigidos a macOS es una tendencia al alza. La confianza en plataformas como GitHub se está viendo explotada sistemáticamente, y la detección temprana depende de una combinación de controles técnicos y educación del usuario final”. Otros expertos apuntan a la necesidad de que las grandes plataformas refuercen sus mecanismos de verificación y takedown ante campañas de este tipo.
Implicaciones para Empresas y Usuarios
Las empresas con flotas de dispositivos macOS deben revisar sus políticas de descarga e instalación de software, así como auditar de forma periódica las aplicaciones instaladas. Los equipos de SOC deben incorporar la monitorización de actividad inusual en GitHub y reforzar los controles de acceso privilegiado. Para los usuarios individuales, la precaución al descargar herramientas y la verificación de fuentes son esenciales para evitar infecciones.
Conclusiones
La campaña de distribución de Atomic Stealer a través de falsos repositorios de GitHub marca un nuevo hito en la evolución de las amenazas dirigidas a macOS. La combinación de ingeniería social, abuso de plataformas legítimas y sofisticación técnica exige una respuesta coordinada entre usuarios, empresas y proveedores de tecnología. La actualización continua, la adopción de buenas prácticas y la monitorización proactiva son, a día de hoy, las mejores defensas ante este tipo de ataques.
(Fuente: feeds.feedburner.com)