朝鲜Lazarus新型Mac恶意软件曝光,专盯加密高管与开发者

朝鲜Lazarus新型Mac恶意软件曝光,专盯加密高管与开发者

N
News Editor 01
2026-07-08 14:34:15
Bitso研究团队披露,朝鲜Lazarus利用名为Mach-O Man的macOS恶意软件,通过伪造会议邀请和终端命令诱导,窃取浏览器凭证、钥匙串数据及加密钱包访问权限。
LazarusmacOS恶意软件加密安全Web3网络攻击

安全研究人员近日披露,朝鲜黑客组织Lazarus正在针对加密货币与金融科技行业发起一轮新的macOS攻击活动,核心工具是一套名为Mach-O Man的模块化恶意软件。根据Bitso旗下Quetzal团队与沙箱平台ANY.RUN的分析,该工具主要瞄准美国加密公司、Web3项目及金融科技企业中的高价值目标,包括高管与开发人员。

伪造会议链接成主要入口

此次攻击并非依赖传统软件漏洞,而是以社交工程为核心。攻击者会冒充或接管Telegram联系人账号,向受害者发送“紧急会议”邀请,并伪装成Zoom、Microsoft Teams或Google Meet链接。受害者访问伪造网站后,会看到虚假的连接错误提示,并被诱导复制粘贴一段Terminal命令“修复问题”。

研究人员指出,这种被称为ClickFix的手法已被适配到macOS场景中。由于命令由用户手动执行,macOS的Gatekeeper机制难以及时拦截。初始载荷会通过curl下载名为teamsSDK.bin的启动程序,随后再拉取伪装成正常应用的恶意组件,并诱导用户输入macOS密码。

四阶段窃密链条瞄准钥匙串与钱包

Mach-O Man使用Go语言编写,并编译为Mach-O二进制文件,因此可原生运行于Intel与Apple Silicon设备。整个攻击流程分为四个阶段:首先部署启动器,其后收集主机信息、系统环境和浏览器扩展;接着建立持久化机制;最后由名为macrasv2的窃密模块打包并外传数据。

报告称,该恶意软件可枚举主机名、UUID、CPU、操作系统细节、运行进程,以及Brave、Chrome、Firefox、Safari、Opera和Vivaldi等浏览器扩展信息。随后,持久化模块会在名为“Antivirus Service”的隐藏目录中放置一个改名为Onedrive的文件,并注册com.onedrive.launcher.plist,以便在用户登录时自动启动。

在最后阶段,恶意程序会收集浏览器扩展数据、SQLite凭证数据库以及macOS钥匙串内容,并将这些信息压缩为zip文件,再通过Telegram Bot API上传。研究人员还发现,相关Telegram机器人令牌被直接暴露在二进制文件中,认为这是一次明显的操作安全失误,理论上可能帮助防御方监控或干扰数据外传通道。

研究团队给出防御建议

Quetzal团队已公布主要组件的SHA-256哈希以及与活动相关的网络指标,指向IP地址172.86.113.102144.172.114.220。研究人员还提醒,除Lazarus之外,其他威胁组织也可能已经使用这套工具,显示其存在被共享或出售的可能性。

Lazarus过去已被指与多起大规模加密资产盗窃事件有关,历史上针对macOS的工具还包括ApplejeusRustbucket。研究人员建议,加密企业和金融科技公司应立即审计LaunchAgents目录,重点排查异常路径下运行的“OneDrive”进程,并在非必要情况下限制Telegram Bot API出站流量。对于终端用户而言,最关键的原则仍是:不要执行网页提供的终端命令,也不要轻信未经独立验证的临时会议链接

本文最初由 Bit.Fan 发布。 欲了解更多加密货币新闻与市场洞察,请访问 www.bit.fan.
100

免责声明:

本平台展示的市场信息、项目资料与第三方内容仅用于行业信息分享,不构成任何形式的投资建议或收益承诺。

加密资产交易具有较高风险,用户应充分评估自身风险承受能力并独立作出决策,相关盈亏及法律责任由用户自行承担。