Jamf Threat Labs advarer om en ny skadevarekampanje kalt GhostClaw/GhostLoader, der angripere bruker falske GitHub-repositorier for å lure brukere til å installere skadevare på Mac. Repoene ser ofte legitime ut og kan fremstå som vanlige utviklerverktøy, SDK-er eller andre nyttige prosjekter.
Det som gjør dette ekstra interessant, er at angrepet ikke bare retter seg mot tradisjonelle utviklere som installerer pakker manuelt. Jamf beskriver også varianter som er laget for AI-assisterte arbeidsflyter, der eksterne “skills” eller oppsett hentes direkte fra GitHub. Dermed kan samme type trussel ramme både mennesker som følger en README og mer automatiserte arbeidsflyter som installerer innhold fra eksterne repositorier.
Måten angrepet skjer på er ganske utspekulert. Brukeren blir gjerne bedt om å kjøre en kommando i Terminal som ser ut som en vanlig del av installasjonen. Denne kommandoen laster ned et skript som starter en flerstegsprosess. Først ser det ut som om noe legitimt blir installert, for eksempel Node.js eller andre avhengigheter. Samtidig skjules den egentlige aktiviteten i bakgrunnen.
Deretter prøver skadevaren å hente inn brukerens passord. Jamf beskriver at dette kan skje gjennom falske terminalprompter eller dialogbokser som ligner på ekte macOS-varsler. I noen tilfeller forsøker skadevaren også å få brukeren til å gi Full Disk Access, altså utvidede rettigheter som gir tilgang til mer sensitiv informasjon på maskinen. Når passordet er fanget opp og verifisert, kan skadevaren laste ned nye komponenter, etablere vedvarende tilgang og skjule sporene sine bedre.
For virksomheter er dette en viktig påminnelse om at sikkerhet ikke bare handler om antivirus og enhetsadministrasjon, men også om kontroll på hva brukere, skript og automatiserte verktøy faktisk kjører. Når GitHub, terminalkommandoer og AI-verktøy blir en del av den daglige arbeidsflyten, blir det også lettere for angripere å pakke skadevare inn som noe som virker nyttig og legitimt.
Det viktigste rådet er derfor ganske enkelt: vær forsiktig med installasjonskommandoer fra ukjente GitHub-kilder, særlig hvis de ber deg kjøre skript direkte, oppgi passord eller gi ekstra systemtilganger. Gode sikkerhetsrutiner, tydelige retningslinjer og kontroll på enheter og rettigheter blir bare viktigere når stadig mer arbeid skjer gjennom automatiserte og AI-støttede verktøy.
