Se você é do time Apple e acha que o ecossistema do macOS é blindado por padrão, talvez seja hora de atualizar essa crença. A LastPass aquela mesma do cofre de senhas disparou um alerta quente: um ataque sofisticado está usando repositórios falsos no GitHub para distribuir o famigerado Atomic Infostealer, um malware que finge ser software legítimo para Mac.
Sim, o golpe é um clássico da era moderna: engenharia social com roupagem tecnológica e uma pitada de SEO maroto pra fazer o veneno aparecer no topo do Google.
Como o golpe funciona? Spoiler: parece legítimo, mas é armadilha
O esquema começa com páginas falsas no GitHub, aparentemente criadas por usuários distintos para não levantar suspeita. O alvo? Usuários em busca de ferramentas populares para instalar no Mac. A armadilha? Um botão chamativo do tipo “Install LastPass on MacBook”.
Ao clicar, o usuário é redirecionado para outro domínio, com aquele jeitão “tutorial rápido”, estilo ClickFix, instruindo a rodar comandos no Terminal e é aí que o Atomic Stealer entra em ação, se instala silenciosamente e começa a coletar tudo que pode.
As iscas: LastPass, Dropbox, Notion e até Robinhood
O golpe é democrático: não finge ser só o LastPass. Ele imita também 1Password, Basecamp, Gemini, Hootsuite, Notion, Obsidian, Robinhood, Shopify, Thunderbird, Salesloft, TweetDeck, SentinelOne… praticamente um buffet de apps populares entre profissionais, desenvolvedores e criadores de conteúdo.
E claro, todos os alvos são usuários macOS o que faz todo sentido, considerando que grande parte do público dessas ferramentas usa MacBook como extensão do cérebro.
Onde o SEO entra nessa história?
Essa parte é genialmente maliciosa. Os criadores das páginas falsas abusam de técnicas de SEO (Search Engine Optimization) para fazer esses repositórios aparecerem nos primeiros resultados do Google e Bing. Ou seja, você pesquisa “baixar LastPass para Mac”, e boom o primeiro link parece legítimo, está no GitHub, tem instrução passo a passo… mas é pura casca com recheio tóxico.
Esse tipo de ataque também já foi visto em campanhas com Google Ads maliciosos, inclusive tentando distribuir cargas maliciosas em quem procurava por ferramentas como o Homebrew outro queridinho do universo Apple.
E como a coisa escala: payloads, Amadey e mais
Nas últimas semanas, a comunidade de segurança tem flagrado uma escalada. Ataques com payloads hospedados publicamente, uso do malware Amadey, táticas que detectam ambientes virtuais e até comandos remotos executados depois da infecção inicial. A coisa vai muito além do “clique aqui e se deu mal”.
O GitHub, por sua vez, tem apagado repositórios assim que identificados, mas os criadores reaparecem com novos perfis e links. Um verdadeiro jogo de gato e rato e o rato, nesse caso, tem um bom conhecimento de marketing digital e UX.
O que você pode fazer agora?
Desconfiar virou habilidade de sobrevivência. Está baixando algo para o Mac? Verifique o link com calma. Fuja de tutoriais suspeitos. Não execute comandos no Terminal porque um site aleatório mandou. E, acima de tudo, pare de confiar cegamente no primeiro link do Google ele pode ser tão falso quanto uma joia em camelô.
Para quem administra plataformas ou lidera times de segurança, o recado é direto: reforçar educação digital e revisar todos os processos de instalação via GitHub ou terminal. Segurança não é só sobre firewalls. É sobre contexto, comportamento e bom senso.
