Microsofts GitHub lämnar Mac-användare öppna för falska appar och lösenordsstölder

Fejkade appar imiterar välkända verktyg

Larmet gick i början av september 2025 på forumet r/macapps, där en användare upptäckte misstänkta GitHub-projekt som utgav sig för att vara populära Mac-program. Utvecklaren Michael Tsai berättade senare hur hans app EagleFiler klonades på plattformen – komplett med stulna ikoner och marknadsföringstexter.

Men ”nedladdningen” var inte en app, utan en Base64-kod som installerade ett skript. Detta skript samlade in användarens lösenord och sparade dem i klartext.

Enligt AppleInsider använder bedragarna sofistikerade metoder för att lura användare. De kopierar appnamn, logotyper och till och med skärmdumpar från riktiga utvecklare. Webbadresserna är nästan identiska med originalen, ibland med små skillnader som att byta ut ett litet i mot ett stort I.

I stället för en vanlig installerare uppmanas användaren att dra en ”app” in i Terminal. Det som verkar vara ett harmlöst steg gör i själva verket att ett skadligt skript körs, som kringgår macOS Gatekeeper och installerar malware.

Läs också: Nvidia passerade 4 000 miljarder dollar

Kända utvecklare drabbade

Tsai är inte ensam. Även Rogue Amoeba och Jeff Johnson, skapare av StopTheMadness Pro, har rapporterat om flera fejkade projekt som använder deras appnamn. En snabb sökning på GitHub visar falska versioner av bland annat 1Blocker, BBEdit, Figma, Little Snitch och VLC Media Player.

Alla följer samma mönster – de innehåller till och med sektioner med ”SEO Keywords” för att synas högre i sökresultat.

Ett enkelt sätt att upptäcka bluffarna är att kolla filstorleken. Medan EagleFilers äkta installationsfil är cirka 13 MB, var den falska under 2 MB. Ibland lägger bedragare till ”skräpdata” för att blåsa upp filstorleken, men oavsett åt vilket håll det avviker är det en varningssignal.

Därför är GitHub en perfekt plats för bedragarna

GitHub har hög trovärdighet bland utvecklare och används ofta som förstahandskälla för nedladdningar. Plattformen rankas dessutom högt i Googles sökresultat, vilket gör att falska projekt ofta hamnar före utvecklarnas egna webbplatser.

Läs också: Apple vill köpa F1-rättigheterna

Även när GitHub tar bort skadliga repos dyker nya snabbt upp – bedragare kan nämligen skapa obegränsat med anonyma konton. Det har blivit ett katt-och-råtta-spel där användarna ofta ligger steget efter.

Mac har länge drabbats av malware – från Flashback-trojanen 2012 till dagens adware-kampanjer. Det nya är att angriparna nu går direkt på tilliten till välkända appar och väljer att sprida sina attacker via etablerade plattformar i stället för skumma nedladdningssajter.

Apples skydd räcker inte alltid

Apple har inbyggda skydd som Gatekeeper och XProtect som stoppar många hot. Men om användaren själv går runt dessa, till exempel genom att dra filer till Terminal och köra okända kommandon, är säkerhetslagren värdelösa. Här bygger attacken på social engineering – att lura användaren att själv öppna dörren.

Så skyddar du dig mot falska Mac-appar på GitHub

För att undvika att bli lurad gäller det att vara extra noggrann:

Läs också: Samsung fortsätter med galna priser

• Ladda alltid ner från den officiella utvecklarens webbplats. Om en GitHub-sida dyker upp först på Google – dubbelkolla att den verkligen är länkad från utvecklarens egen sajt.
  
• Var skeptisk till Terminal-kommandon. Seriösa Mac-appar ber dig inte dra filer till Terminal eller köra Base64-kod.
  
• Håll dig till säkra källor. Mac App Store och Homebrew är inte felfria, men betydligt säkrare än att ladda ner slumpmässiga filer från GitHub.
  
• Lita inte blint på utseendet. Bedragarna kopierar logotyper, ikoner och texter för att se trovärdiga ut.
  

Ett par minuter extra för att kontrollera källan kan vara skillnaden mellan en trygg installation och timmar av återställningsarbete efter en lösenordsstöld.

Läs också: Håll inne knappen – då avslöjar WhatsApp en dold funktion du inte visste fanns