日前，知名密碼管理器服務商LastPass發出嚴正警告，揭露一場大規模、鎖定Apple macOS用戶的資訊竊取活動。這場行動透過建立虛假的GitHub儲存庫，將惡意程式偽裝成廣受歡迎的合法工具，誘騙用戶下載並執行，從而竊取敏感資料。

LastPass的威脅情報、緩解和升級（TIME）團隊研究人員Alex Cox、Mike Kosak和Stephanie Schneider在分析後指出，駭客利用這些欺騙性的儲存庫，將潛在受害者重定向到專門用於下載Atomic資訊竊取惡意軟體的頁面。這款惡意軟體功能強大，能夠從受害者的電腦中竊取密碼、瀏覽器歷史記錄、加密錢包資訊等多種重要數據，對個人與企業資產構成嚴重威脅。

這場攻擊活動的影響範圍相當廣泛，不僅僅是LastPass。駭客精心模仿了許多市場上主流的軟體，以增加其欺騙性。根據調查，除了LastPass之外，其他被模仿的流行工具還包括1Password、Basecamp、Dropbox、Gemini、Hootsuite、Notion、Obsidian、Robinhood、Salesloft、SentinelOne、Shopify、Thunderbird和TweetDeck等。這些虛假的GitHub儲存庫無一例外地都針對macOS系統進行設計，顯示駭客的目標明確且手法精準。

駭客為了確保這些惡意網站能接觸到最多的潛在受害者，採用了「搜尋引擎優化中毒(註)」（Search Engine Optimization Poisoning, SEO Poisoning）的技術。他們透過一系列手法，將指向惡意GitHub網站的連結推送到Bing和Google等主流搜尋引擎的搜尋結果頂部。當用戶在搜尋框中輸入「下載LastPass」或「下載1Password」等關鍵字時，這些惡意連結便會出現在最醒目的位置。用戶一旦不慎點擊，便會被指示透過看似無害的按鈕，例如「在MacBook上安裝LastPass」，下載惡意程式，最終導向GitHub頁面域，執行惡意軟體。

註：
「搜尋引擎優化中毒」（Search Engine Optimization Poisoning，簡稱 SEO Poisoning）是一種網路攻擊手法，駭客透過操控搜尋引擎排名，讓惡意網站或連結在使用者搜尋特定關鍵字時出現在前幾名，誘導使用者點擊並感染惡意程式或進入釣魚網站。

這起事件再次凸顯了數位時代下，資安威脅已不再侷限於傳統的惡意電子郵件或釣魚網站。駭客開始利用如GitHub這類值得信賴的平台，以及搜尋引擎的排名機制，進行更為複雜的社會工程攻擊。這種手法不僅能繞過許多用戶的常規警覺，也讓攻擊更具隱蔽性。

對於企業和個人用戶而言，防範此類攻擊至關重要。以下是一些實用的資安防護建議：

1. 提高警覺性： 任何透過網路搜尋找到的軟體下載連結都應保持懷疑。即使連結出現在搜尋結果的頂部，也不代表其絕對安全。駭客正是利用這一點進行欺騙。

2. 從官方管道下載： 永遠只從軟體開發商的官方網站或如Apple App Store等官方應用程式商店下載程式。不要輕信任何第三方網站、論壇或非官方的GitHub頁面提供的下載連結。

3. 仔細驗證網址： 在下載任何檔案前，務必仔細檢查網址是否為官方網域。許多假冒網站的網址僅有一個字母或符號的差異，稍不注意便可能上當。

4. 使用密碼管理器： 雖然LastPass本身是此次攻擊的目標之一，但使用密碼管理器仍是保護帳戶安全的最佳實踐。它們可以幫助您為每個網站設定獨特的強密碼，降低因單一密碼外洩而導致多個帳戶被盜的風險。

5. 啟用雙重驗證（2FA）： 針對所有支援雙重驗證的服務，務必啟用此功能。即使駭客成功竊取了您的密碼，沒有第二層驗證，他們也無法登入您的帳戶。

6. 定期更新作業系統與軟體： 確保您的macOS系統和所有應用程式都保持在最新版本，以修補已知的安全漏洞。

這場針對macOS用戶的資訊竊取活動再次提醒我們，網路威脅無所不在，且手法日新月異。企業與個人都必須將資訊安全視為優先事項，透過強化安全意識、採取積極的防禦措施，才能有效保護數位資產，對抗不斷演變的網路犯罪。

資料來源：https://thehackernews.com/2025/09/lastpass-warns-of-fake-repositories.html