Вредонос GhostClaw крадёт пароли и ключи, взламывая iMessage через GitHub

Новая угроза для пользователей macOS не использует уязвимости в системе — она эксплуатирует привычки пользователей.

Вредонос GhostClaw демонстрирует, как легко можно превратить ежедневную работу с GitHub в лазейку для кражи данных. Исследователи безопасности предупреждают о новой кампании, распространяющейся через репозитории GitHub и инструменты разработчиков.

Схема работы удивительно проста. Заражённые проекты выглядят как полностью легальные инструменты — это могут быть SDK, торговые приложения или различные утилиты для разработчиков. Часто они долгое время создают репутацию, прежде чем будут модифицированы и начнут содержать вредоносные инструкции по установке.

Ключевой момент наступает во время установки. Пользователь, следуя инструкции из README, запускает команду, которая загружает и выполняет внешний скрипт. Проблема в том, что такое поведение сегодня абсолютно нормально — именно так работают многие легальные установщики. В результате вредонос не вызывает подозрений и действует в рамках разрешений, предоставленных самим пользователем.

GhostClaw показывает новую реальность кибербезопасности. Крупнейшим вектором атаки уже не является уязвимость в системе, а доверие к инструментам, которые мы используем ежедневно. Это делает угрозу гораздо сложнее для обнаружения — даже для опытных пользователей.