Lazarus新型macOS木马曝光:窃取Keychain与加密钱包凭证

Lazarus新型macOS木马曝光:窃取Keychain与加密钱包凭证

N
News Editor 01
2026-07-08 15:02:17
朝鲜黑客组织Lazarus被曝使用名为Mach-O Man的macOS恶意工具包,借助伪造会议邀请诱导用户执行终端命令,进而窃取Keychain、浏览器凭证及加密账户数据。
LazarusmacOS恶意软件Keychain加密钱包网络安全

朝鲜黑客组织 Lazarus近日被安全研究人员披露正在使用一款名为Mach-O Man的模块化 macOS 恶意软件工具包,主要瞄准加密货币、Web3 与金融科技领域的高价值用户。研究显示,攻击者通过伪造同事身份发送紧急会议邀请,引导目标访问假冒 Zoom、Microsoft Teams 或 Google Meet 页面,最终诱骗受害者手动执行终端命令,从而绕过 macOS 的常规防护机制。

攻击链分为四个阶段

根据 Bitso 旗下 Quetzal Team 与 ANY.RUN 的分析,Mach-O Man 采用 Go 语言编写,并编译为原生的 Mach-O 二进制文件,可在 Intel 与 Apple Silicon 设备上运行。该工具包整体分为四个阶段,目标是窃取浏览器凭证、macOS Keychain 项目以及加密账户访问数据,并在完成后尽量清除痕迹。

攻击的起点并非软件漏洞,而是社会工程学。攻击者会控制或冒充 Web3 与加密行业联系人在 Telegram 上的账号,向目标发送带有紧迫感的会议邀请。受害者点击后会进入伪造站点,例如 update-teams.livelivemicrosft.com。这些页面会显示连接错误提示,并要求用户复制粘贴终端命令“修复问题”。由于命令是用户主动执行,macOS Gatekeeper 通常不会拦截。

伪装安装与持久化机制

在首个加载器被执行后,恶意程序会下载一个伪造应用包,并通过临时代码签名让其看起来更像合法软件。随后,程序会诱导用户输入 macOS 密码。研究人员指出,该窗口会在前两次输入时故意“失败”,第三次才接受密码,以此增强目标对其真实性的信任。

之后,名为 profiler 的组件会收集设备主机名、UUID、CPU、操作系统细节、运行中的进程,以及 Brave、Chrome、Firefox、Safari、Opera、Vivaldi 等浏览器扩展信息。报告还提到,这一组件存在编码缺陷,可能导致无限循环和 CPU 异常飙升,反而成为识别感染的线索。

为了维持驻留,恶意软件会在名为“Antivirus Service”的隐藏目录下投放一个被重命名为 Onedrive 的文件,并注册 com.onedrive.launcher.plist 启动项,使其在用户登录时自动运行。

通过 Telegram Bot API 外传敏感数据

最终阶段的窃密程序 macrasv2 会搜集浏览器扩展数据、SQLite 凭证数据库以及 Keychain 条目,并将其压缩为 zip 文件,再通过 Telegram Bot API 向外传输。研究人员还发现,该恶意程序二进制文件中暴露了 Telegram 机器人令牌,这被视为明显的操作安全失误,理论上可能让防御方对其通信渠道进行监控或干扰。

公开信息显示,研究团队还披露了主要组件的 SHA-256 哈希 以及相关网络指标,包括 IP 地址 172.86.113.102144.172.114.220。研究人员同时指出,这套工具不仅可能被 Lazarus 使用,也可能已经在其他威胁组织之间被共享或出售。

加密与金融科技企业面临持续风险

Lazarus 也被部分威胁情报机构追踪为 Famous Chollima,过去数年已被归因于数十亿美元规模的加密货币盗窃活动。此前该组织曾使用 Applejeus、Rustbucket 等 macOS 工具,而此次曝光的 Mach-O Man 延续了其针对苹果生态中加密行业用户的攻击偏好,同时进一步降低了实施入侵的门槛。

安全研究人员建议,加密和金融科技企业应审计 LaunchAgents 目录,监控来自异常路径的 Onedrive 进程,并在非必要情况下阻断 Telegram Bot API 的外连访问。对于使用 macOS 设备的团队而言,任何未经核实且带有紧迫感的会议链接,都应被视为潜在攻击入口;用户尤其不应复制执行来自网页或陌生消息的终端命令。

本文最初由 Bit.Fan 发布。 欲了解更多加密货币新闻与市场洞察,请访问 www.bit.fan.
100

免责声明:

本平台展示的市场信息、项目资料与第三方内容仅用于行业信息分享,不构成任何形式的投资建议或收益承诺。

加密资产交易具有较高风险,用户应充分评估自身风险承受能力并独立作出决策,相关盈亏及法律责任由用户自行承担。