LastPass（一款密码管理工具）向 macOS 用户发出安全提示，称有一场攻击活动正通过虚假 GitHub 仓库分发伪装成热门软件的恶意程序。

这些伪造应用会在 "ClickFix 攻击 " 中植入 Atomic（又称 AMOS）信息窃取恶意软件，且攻击者通过 Google 和 Bing 的搜索引擎优化策略推广这些虚假应用。

AMOS 是一款 " 恶意软件即服务 " 产品，月租费为 1000 美元，通常以受感染设备上的数据为攻击目标。近期，该恶意软件的开发者新增了后门组件，使攻击者能以隐蔽方式持续控制已攻陷的系统。

攻击细节：伪装超百款软件，借 GitHub 与 ClickFix 传播

LastPass 表示，除自身产品外，此次攻击还伪装了超 100 款软件，包括 1Password（密码管理工具）、Dropbox（云存储工具）、Confluence（协同办公软件）、Robinhood（股票交易应用）、Fidelity（金融服务软件）、Notion（笔记工具）、Gemini（谷歌 AI 工具）、Audacity（音频编辑软件）、Adobe After Effects（视频特效软件）、Thunderbird（邮件客户端）及 SentinelOne（安全软件）等。

恶意的 Google 搜索结果

攻击者通过多个账号创建了大量虚假 GitHub 仓库——此举既能规避平台下架，又能通过优化让仓库在搜索结果中排名靠前。

声称与 LastPass 有关的 GitHub 代码库

这些仓库会设置 " 下载按钮 "，引导访问者跳转至二级网站；在该网站中，用户会被诱导将一段命令粘贴到终端（Terminal）以完成 " 安装 "。

这是典型的 "ClickFix 攻击 "：利用受害者不了解命令实际作用的弱点实施攻击。这段命令会通过 curl 工具请求一个经 Base64 编码的 URL，并将 AMOS 恶意载荷（install.sh 脚本）下载到设备的 /tmp 目录（临时目录）。

攻击背景与防御建议

针对苹果电脑的 ClickFix 攻击并非首次出现。此前也有过类似活动，例如 Booking.com 的攻击，以及近期通过广告推广 "macOS 特定问题解决方案 " 的虚假应用攻击。

尽管 LastPass 仍在持续监控此次攻击，并向 GitHub 举报虚假仓库，但攻击者可通过自动化工具用新账号快速创建新仓库，导致攻击难以彻底遏制。

为避免遭遇 ClickFix 攻击，LastPass 建议用户采取以下措施：

1. 切勿在系统中运行自身不理解的命令；

2. 在线查找软件时，优先通过软件厂商或项目的官方网站获取安装包——若官网未提供 macOS 版本，声称提供 " 非官方版 " 的渠道大概率为虚假；

3. 若需使用第三方移植的 macOS 版本，需确认提供方为大众认可的知名机构，且经过安全性验证。