Campaña masiva de infostealers compromete usuarios de LastPass en macOS mediante repositorios maliciosos en GitHub

Introducción

La seguridad de los gestores de contraseñas vuelve a estar en entredicho tras detectarse una campaña a gran escala dirigida a usuarios de LastPass en sistemas macOS. Grupos de amenazas han estado explotando repositorios maliciosos alojados en GitHub para distribuir el infostealer «Atomic», también conocido como AMOS (Atomic macOS Stealer). Esta operación evidencia una tendencia creciente en la sofisticación de los ataques a usuarios de Apple y plantea serias implicaciones para la protección de credenciales y datos sensibles, especialmente en entornos corporativos.

Contexto del Incidente

El ataque ha sido identificado a principios de junio de 2024, coincidiendo con un aumento sostenido de campañas de malware dirigidas a dispositivos Mac. Los actores de amenazas han aprovechado la popularidad de LastPass, uno de los gestores de contraseñas más utilizados a nivel global, como vector de ingeniería social para maximizar el alcance de la campaña. El modus operandi consiste en la distribución de supuestas actualizaciones o instaladores de LastPass a través de repositorios fraudulentos en GitHub, los cuales contienen versiones troyanizadas de la aplicación orientadas a la infección de sistemas macOS.

Según los análisis de distintos equipos de threat intelligence, el objetivo primario es robar credenciales almacenadas, información bancaria, archivos locales y datos de monederos de criptomonedas, aprovechando la creciente adopción de macOS en entornos empresariales y de desarrollo.

Detalles Técnicos

La campaña ha sido catalogada bajo los identificadores MITRE ATT&CK T1189 (Drive-by Compromise), T1566.002 (Phishing: Spearphishing via Services) y T1095 (Non-Application Layer Protocol), entre otros. El malware principal utilizado, Atomic (AMOS), es un infostealer avanzado diseñado específicamente para macOS, con capacidades para evadir Gatekeeper y otras protecciones nativas del sistema.

Vectores de ataque:
– Repositorios falsos en GitHub con instaladores troyanizados de LastPass para macOS.
– Técnicas de SEO poisoning para posicionar los enlaces maliciosos en búsquedas relacionadas con LastPass y software de gestión de contraseñas.
– Ingeniería social a través de foros y redes sociales, suplantando a soporte técnico oficial.

Versiones afectadas:
– El ataque afecta a usuarios de LastPass en macOS, especialmente aquellos que descargan instaladores fuera de la App Store o del sitio oficial.
– No se ha reportado explotación directa de vulnerabilidades zero-day en LastPass, sino abuso de la confianza del usuario y distribución de binarios modificados.

Indicadores de Compromiso (IoC):
– Hashes SHA256 de los instaladores maliciosos (listados en informes de Threat Intelligence).
– Comunicación con C2 (Command & Control) a través de dominios recientemente registrados y servidores offshore.
– Dropper que instala payloads secundarios para persistencia y exfiltración de datos.

Herramientas y frameworks:
– Se ha detectado el empleo de scripts automatizados para la creación y promoción de repositorios maliciosos.
– Utilización ocasional de frameworks como Metasploit y Cobalt Strike para fases posteriores y movimientos laterales en redes comprometidas.

Impacto y Riesgos

El impacto de la campaña es significativo tanto para usuarios individuales como para empresas. Se estima que decenas de miles de usuarios de macOS han podido estar expuestos, con una tasa de éxito del 8-12% en la instalación del malware según datos preliminares. La sustracción de credenciales de LastPass puede desencadenar ataques de cadena (credential stuffing) y comprometer infraestructuras críticas si los usuarios afectados reutilizan contraseñas en otros servicios.

El robo de información financiera y de monederos de criptomonedas se traduce también en pérdidas económicas directas, con incidentes que superan los 500.000 euros en transferencias no autorizadas en los primeros días de la campaña.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo de infección, se recomienda:
– Descargar software exclusivamente desde fuentes oficiales (App Store o página web de LastPass).
– Verificar la integridad y procedencia de los binarios antes de la instalación (verificación de firma digital).
– Utilizar soluciones EDR y antimalware actualizadas, con capacidades específicas para macOS.
– Monitorizar los IoC publicados y bloquear dominios asociados a la campaña en los firewalls corporativos.
– Implementar políticas de seguridad Zero Trust y restringir la instalación de software no autorizado.

Desde el punto de vista legal, las organizaciones deben notificar cualquier filtración de datos personales conforme al RGPD y, si procede, a la directiva NIS2, dadas las obligaciones de reporte ante incidentes de ciberseguridad que afectan a servicios esenciales.

Opinión de Expertos

Expertos en seguridad de empresas como ESET, CrowdStrike y Kaspersky han subrayado la profesionalización de los ataques a macOS y la importancia de la educación del usuario como primera línea de defensa. Destacan que «la confianza ciega en repositorios públicos es un vector de riesgo creciente», y recalcan la necesidad de políticas de whitelisting y revisión constante de la cadena de suministro de software.

Implicaciones para Empresas y Usuarios

Las empresas deben reforzar sus programas de concienciación, actualizando las guías de buenas prácticas para la instalación de herramientas críticas como gestores de contraseñas. El incidente también pone en evidencia la necesidad de auditorías periódicas de la postura de seguridad en endpoints macOS, especialmente en organizaciones que han adoptado el modelo BYOD (Bring Your Own Device).

Conclusiones

La campaña de infostealer sobre usuarios de LastPass en macOS representa una amenaza real y creciente, impulsada por la facilidad de distribución de malware a través de plataformas colaborativas como GitHub. Una combinación de controles técnicos, formación continua y vigilancia activa de amenazas es esencial para proteger tanto a usuarios particulares como a organizaciones frente a este tipo de ataques en evolución.

(Fuente: www.securityweek.com)