請注意,已確認有一個網站冒充 macOS 套件管理工具 Homebrew 的官方網站,並誘騙您下載惡意軟體。詳細資訊如下。
加拿大安全工程師 Ryan Chenkie 表示,Google的贊助連結目前連結到 macOS 套件管理工具。「自製」似乎有一個網站冒充 的官方網站,並試圖誘騙您將惡意軟體 (cURL) 下載到您的 Mac 上。
這個網站是一個類似brew.sh的brewe他們已經獲得了 [.]sh 域名,並正在使用一種拼寫錯誤技術來針對用戶的拼寫錯誤並將他們引導至惡意網站。病毒總數已向 Google 報告並被 Safari 和 Chrome 中的安全瀏覽功能封鎖。
冒充 Homebrew 或 OBS Studio 等開源專案的官方網站並試圖誘騙您下載/安裝惡意軟體的網站是因此,使用者應小心謹慎。
後記
根據收到的評論,brewe除了[.]sh之外,其他幾個網站如brewmacos[.]com也複製了Homebrew的官方網站並且仍在運作。
這些頁面已被安全瀏覽功能阻止。
使用 cURL 下載的檔案包含 Atomic macOS Stealer (AMOS),它會竊取 macOS 鑰匙圈密碼、系統資訊、瀏覽器資料和錢包等資訊。偵測一直是。
該腳本似乎會下載 AMOS 竊取惡意軟體。
我目前正在致力於緩解:
請求關閉攻擊中使用的網域和主機。與許多 AV 公司共享有效負載和 URL。
希望他們沒有造成任何受害者。
— 傑羅恩吉 (@JeroenGui)2025 年 1 月 19 日
