请注意,已确认有一个网站冒充 macOS 包管理工具 Homebrew 的官方网站,并诱骗您下载恶意软件。详细信息如下。
加拿大安全工程师 Ryan Chenkie 表示,谷歌的赞助链接目前链接到 macOS 包管理工具。「自制」似乎有一个网站冒充 的官方网站,并试图诱骗您将恶意软件 (cURL) 下载到您的 Mac 上。
这个网站是一个类似于brew.sh的brewe他们已经获得了 [.]sh 域名,并正在使用一种拼写错误技术来针对用户的拼写错误并将他们引导至恶意网站。病毒总数已向 Google 报告并被 Safari 和 Chrome 中的安全浏览功能阻止。
冒充 Homebrew 或 OBS Studio 等开源项目的官方网站并试图诱骗您下载/安装恶意软件的网站是因此,用户应小心谨慎。
后记
根据收到的评论,brewe除了[.]sh之外,其他几个网站如brewmacos[.]com也复制了Homebrew的官方网站并且仍在运行。
这些页面已被安全浏览功能阻止。
使用 cURL 下载的文件包含 Atomic macOS Stealer (AMOS),它会窃取 macOS 钥匙串密码、系统信息、浏览器数据和钱包等信息。检测一直是。
该脚本似乎会下载 AMOS 窃取恶意软件。
我目前正在致力于缓解:
请求关闭攻击中使用的域和主机。与许多 AV 公司共享有效负载和 URL。
希望他们没有造成任何受害者。
— 杰罗恩·吉 (@JeroenGui)2025 年 1 月 19 日
