Malware Atomic Stealer Serang Mac via GitHub Palsu, Begini Modusnya

Selular.id – Para peneliti keamanan siber memperingatkan pengguna Apple Mac tentang kampanye berbahaya yang memanfaatkan repositori GitHub palsu untuk menyebarkan malware dan pencuri informasi.

Riset dari analis LastPass Threat Intelligence, Mitigation, and Escalation (TIME) menemukan bahwa penyerang memalsukan perusahaan ternama untuk meyakinkan korban mengunduh perangkat lunak Mac palsu.

Serangan ini menargetkan pengguna yang kurang waspada saat mencari aplikasi populer di mesin pencari.

Dua halaman GitHub palsu yang berpura-pura menawarkan LastPass untuk Mac pertama kali terlihat pada 16 September 2025 dengan nama pengguna “modhopmduck476.”

Halaman tersebut berisi tautan berlabel “Install LastPass on MacBook” yang mengarahkan pengguna ke situs berbahaya.

Meski halaman ini telah diturunkan, insiden tersebut mengungkap pola serangan yang terus berkembang dan menjadi ancaman serius bagi ekosistem macOS.

Ancaman malware di platform Mac memang kian meningkat dalam beberapa tahun terakhir.

LastPass menyatakan mereka “secara aktif memantau kampanye ini” sambil bekerja untuk menurunkan konten berbahaya dan berbagi indikator kompromi untuk membantu mendeteksi ancaman.

Kehadiran malware yang menyusup perangkat Mac bukanlah hal baru, seperti pernah diungkap dalam laporan malware misterius yang menyusupi puluhan ribu MacBook sebelumnya.

Rantai Serangan yang Terorganisir

Dari halaman GitHub palsu, pengguna diarahkan ke situs berdomain mencurigakan dan diminta untuk menempelkan perintah tertentu ke terminal Mac mereka.

Perintah tersebut menggunakan permintaan CURL untuk mengambil URL yang dikodekan base64, yang setelah diterjemahkan mengarah ke skrip instalasi berbahaya.

Skrip ini kemudian mengirimkan payload “Update” yang menginstal Atomic Stealer (AMOS malware) ke direktori sementara sistem.

Atomic Stealer, yang telah aktif sejak April 2023, adalah infostealer terkenal yang digunakan oleh kelompok kejahatan siber dengan motivasi finansial.

Malware ini dirancang untuk mencuri berbagai informasi sensitif dari perangkat yang terinfeksi. Investigasi menghubungkan kampanye ini dengan banyak repositori palsu lainnya yang meniru perusahaan mulai dari institusi keuangan hingga aplikasi produktivitas.

Daftar nama yang ditargetkan termasuk 1Password, Robinhood, Citibank, Docker, Shopify, Basecamp, dan banyak lainnya.

Penyerang tampaknya membuat beberapa nama pengguna GitHub untuk menghindari penurunan konten, menggunakan Optimasi Mesin Pencari (SEO) untuk mendorong tautan berbahaya mereka lebih tinggi di hasil pencarian Google dan Bing.

Teknik ini meningkatkan peluang pengguna Mac yang mencari unduhan resmi akan menemukan halaman palsu terlebih dahulu.

Platform Komunitas: Kemudahan dan Risiko

Penggunaan GitHub Pages oleh penyerang mengungkapkan baik kemudahan maupun risiko platform komunitas.

Repositori palsu dapat dibuat dengan cepat, dan meskipun GitHub dapat menghapusnya, penyerang sering kembali dengan alias baru.

Siklus ini memunculkan pertanyaan tentang seberapa efektif platform semacam itu dapat melindungi pengguna.

Fenomena ini memperkuat pernyataan sebelumnya bahwa Mac mudah disusupi malware jika pengguna tidak menerapkan langkah keamanan yang tepat.

Ancaman ini semakin kompleks dengan teknik sosial engineering yang canggih, mirip dengan cara kerja malware Ermac yang bisa menguras rekening tabungan.

Pengguna yang tidak sadar mungkin mengira mereka mengunduh aplikasi legitimate, padahal yang mereka dapatkan adalah malware yang dapat membahayakan data dan privasi mereka.

Pola serangan ini menunjukkan bahwa pelaku kejahatan siber terus berinovasi dalam metode distribusi malware mereka.

Langkah Perlindungan untuk Pengguna Mac

Untuk melindungi diri dari serangan semacam ini, pengguna Mac disarankan untuk hanya mengunduh perangkat lunak dari sumber terverifikasi.

Hindari menyalin perintah dari situs web yang tidak dikenal untuk mencegah eksekusi kode tidak sah. Selalu perbarui macOS dan semua perangkat lunak yang terinstal untuk mengurangi kerentanan.

Gunakan perangkat lunak keamanan terbaik yang termasuk perlindungan ransomware untuk memblokir ancaman.

Aktifkan pencadangan sistem secara teratur untuk memulihkan file jika ransomware atau malware menyerang.

Tetap skeptis terhadap tautan, email, dan pop-up yang tidak terduga untuk meminimalkan paparan.

Pantau peringatan resmi dari vendor tepercaya untuk pembaruan keamanan dan panduan tepat waktu. Konfigurasikan kata sandi yang kuat dan unik, serta aktifkan autentikasi dua faktor untuk akun penting.

Kewaspadaan dan praktik keamanan yang baik tetap menjadi pertahanan terbaik terhadap ancaman siber yang terus berkembang.

Industri keamanan siber terus memantau perkembangan kampanye ini sambil bekerja pada langkah-langkah pencegahan yang lebih efektif.

Kolaborasi antara platform seperti GitHub, vendor keamanan, dan pengguna akhir diperlukan untuk menciptakan lingkungan digital yang lebih aman bagi semua pihak.