macOSのパッケージ管理ツールHomebrewの公式サイトを装い、マルウェアをダウンロードさせるサイトが確認されているので注意を。

セキュリティ

2025.01.20

記事内に広告が含まれています。

　macOSのパッケージ管理ツールHomebrewの公式サイトを装い、マルウェアをダウンロードさせるサイトが確認されているので注意してください。詳細は以下から。

　カナダでセキュリティエンジニアをされているRyan Chenkieさんらによると、現在GoogleのスポンサーリンクにmacOSのパッケージ管理ツール「Homebrew」の公式サイトを装い、Macにマルウェアをダウンロード(cURL)させようとするサイトが掲載されているそうです。

⚠️ Developers, please be careful when installing Homebrew.

Google is serving sponsored links to a Homebrew site clone that has a cURL command to malware. The URL for this site is one letter different than the official site. pic.twitter.com/TTpWRfqGWo

— Ryan Chenkie (@ryanchenkie) January 18, 2025

　このサイトは、brew.shに似たbrewe[.]shドメインを取得しユーザーのタイプミスを狙い悪意にあるWebサイトへ誘導するタイポスクワッティング(Typosquatting)手法を利用しており、既にVirusTotalやGoogleに報告され、SafariやChromeではセーフブラウジング機能でブロックされるようになっていますが、

HomebrewやOBS Studioなどのオープンソースプロジェクトの公式サイトを装い、マルウェアをダウンロード/インストールさせようとするサイトは度々報告されているので、ユーザーの方は注意してください。

追記

　いただいたコメントによると、brewe[.]sh以外にもbrewmacos[.]comなど複数のサイトがHomebrewの公式サイトをコピーし現在も稼働しているそうで、

これらのページも既にセーフブラウジング機能でブロックされるようになっています。

cURLでダウンロードされるファイルには、macOSのキーチェーン・パスワードやシステム情報、ブラウザデータ、ウォレットなどの情報を搾取するAtomic macOS Stealer (AMOS)が検出されています。

The script seems to download an AMOS stealer malware.

I am currently working on mitigation:
Requested takedowns for both the domains and hosting used in the attack.

Payload and urls shared with a bunch of AV companies.

Let’s hope they didn’t make any victims.

— Jeroen Gui (@JeroenGui) January 19, 2025