Der Passwortmanager Lastpass warnt seine Nutzer vor dem Infostealer Atomic unter macOS. Es geht um Login-Daten und Krypto-Wallets.
Der Passwortmanager LastPass schlägt derzeit Alarm. Cyberkriminelle nutzen derzeit gefälschte GitHub-Repositories, um Schadsoftware unter macOS zu verbreiten. Im Visier steht der Infostealer „Atomic“, der gezielt nach Zugangsdaten und Wallets sucht, um die Opfer um ihr Erspartes zu bringen.
Gefährliche Täuschung über Suchmaschinen
Die Täter bedienen sich eines altbekannten Tricks in neuer Dimension: Über die sogenannte SEO-Vergiftung erscheinen ihre manipulierten Repositories in den Suchergebnissen von Google und Bing weit oben. Gesucht wird etwa nach Installationsanleitungen für Programme wie LastPass, 1Password den Online-Speicherplatz Dropbox oder den KI-Workspace Notion. Die Suchenden landen dann auf täuschend echt gestalteten Projektseiten der Kriminellen.
Dort finden sich Anleitungen mit Terminal-Befehlen, die angeblich zur Installation der Passwort-Manager führen sollen. In Wahrheit laden diese Befehle jedoch die Schadsoftware „Atomic Infostealer” nach, die unbemerkt sensible Daten abgreift.
Funktionsweise des Lastpass-Angriffs
Der Infostealer ist für macOS-Systeme optimiert und kann Anmeldedaten aus Browsern und Passwort-Managern auslesen, Informationen über das System sammeln und Krypto-Wallets kompromittieren. Darüber hinaus verschaffen sich die Angreifer durch die Manipulation von Systemdiensten dauerhaften Zugriff auf das Gerät.
Besonders perfide: Sobald GitHub ein Repository wegen Missbrauchs löscht, tauchen an anderer Stelle bereits neue auf. Dadurch ist diese Malware-Kampagne für Lastpass und weitere Passwortmanager äußerst widerstandsfähig gegen Sperrungen.
Dies ist eine neue Dimension der Supply-Chain-Bedrohung.
Betroffen sind vor allem technisch versierte Nutzer, die Software bevorzugt über GitHub beziehen und es gewohnt sind, Shell-Befehle manuell auszuführen. Gerade diese Gruppe vertraut häufig auf Community-Projekte und ist deshalb ein lohnendes Ziel.
Die aktuelle Angriffswelle zeigt, dass selbst anerkannte Plattformen wie GitHub keine Garantie für Authentizität bieten können. Angriffe, die den Anschein legitimer Supply-Chains erwecken, gewinnen zunehmend an Bedeutung. Wie wir bereits berichtet haben, war der Passwortmanager Lastpass schon häufiger ein lohnendes Angriffsziel für Cyberkriminelle.
Empfehlungen für Anwender von Lastpass & Co.
Sicherheitsexperten raten zu erhöhter Vorsicht:
– Repositories und Maintainer-Accounts stets sorgfältig prüfen.
– Keine Terminal-Befehle ohne Verständnis ausführen, insbesondere nicht curl | sh oder ähnliche Konstrukte.
– Wenn möglich, Hashes und Signaturen überprüfen.
– Software bevorzugt über offizielle Distributionskanäle beziehen.
– Sicherheitslösungen einsetzen, die Datenabflüsse erkennen können.
Die Warnung von LastPass unterstreicht, wie professionell Cyberkriminelle inzwischen vorgehen. Durch die Kombination aus Suchmaschinenmanipulation, gefälschten Repositories und glaubwürdigen Installationsanleitungen entsteht eine Bedrohung, die selbst erfahrene Nutzer täuschen kann. Für macOS-Anwender gilt daher mehr denn je: Vorsicht bei Downloads – und Zero Trust auch gegenüber vermeintlich seriösen Quellen!
Der von Apple selbst aufgebaute Mythos eines sicheren Macs lässt sich nicht im Ansatz halten. Die vermeintliche Sicherheit von Apple-Produkten war damals einfach dem geringen Verbreitungsgrad geschuldet. Inzwischen sind Macs weiterverbreitet und sie sind, wie man sieht, ein sehr lohnendes Ziel.
