Lazarus新型macOS木马Mach-O Man瞄准加密高管与开发者

Lazarus新型macOS木马Mach-O Man瞄准加密高管与开发者

N
News Editor 01
2026-07-08 14:34:15
朝鲜黑客组织Lazarus被曝投放针对macOS用户的模块化木马Mach-O Man,通过伪造会议邀请和终端命令诱导受害者执行恶意程序,窃取钥匙串、浏览器凭证及加密钱包访问权限。
LazarusmacOS安全加密货币安全网络攻击Web3

安全研究人员披露,朝鲜黑客组织 Lazarus 近期在一场面向加密货币与金融科技行业的攻击活动中,部署了名为 Mach-O Man 的模块化 macOS 恶意软件工具包。该攻击主要针对美国加密公司、Web3 企业中的高价值目标,包括高管、开发者及其他敏感岗位人员。

伪造会议邀请成为主要入口

根据 Bitso 旗下 Quetzal 团队与沙箱平台 ANY.RUN 于 2026年4月21日 公开的分析,这场被命名为“朝鲜Safari”的行动并非依赖软件漏洞,而是以社会工程为核心。攻击者会控制或冒充受害者熟悉的 Telegram 账号,发送带有紧迫感的 Zoom、Microsoft Teams 或 Google Meet 会议邀请,并将用户引导至伪造站点,例如 update-teams.livelivemicrosft.com

在这些仿冒页面中,受害者会看到伪造的连接错误提示,并被要求复制粘贴一段终端命令来“修复问题”。这种被称为 ClickFix 的手法在此次攻击中被移植到 macOS 环境。由于命令是由用户手动执行,macOS 的 Gatekeeper 机制难以直接拦截。

四阶段窃密链条瞄准钥匙串与钱包访问

研究显示,Mach-O Man 使用 Go 编写,并编译为原生 Mach-O 二进制文件,可同时运行于 Intel 与 Apple Silicon 设备。其攻击流程分为四个阶段:初始加载器首先通过 curl 下载伪装程序 teamsSDK.bin;随后再下载一个假的应用包,并以临时代码签名方式伪装成合法软件,同时诱导用户输入 macOS 密码。

进一步执行后,恶意程序会收集主机名、UUID、CPU、操作系统信息、运行中的进程,以及 Brave、Chrome、Firefox、Safari、Opera 和 Vivaldi 等浏览器扩展数据。研究人员还指出,其中一个分析模块存在编码缺陷,可能导致 CPU占用异常升高,从而成为检测感染的一个侧面信号。

在持久化阶段,攻击组件会将一个被重命名为 Onedrive 的文件放入隐藏目录“Antivirus Service”中,并注册名为 com.onedrive.launcher.plist 的 LaunchAgent,以便在用户登录时自动运行。最后,名为 macrasv2 的窃密程序会搜集浏览器扩展数据、SQLite 凭证数据库以及 macOS 钥匙串内容,打包为 zip 文件后经由 Telegram Bot API 回传。

研究人员公布IOC并提示企业加强审计

Quetzal 团队已公开该工具包主要组件的 SHA-256 哈希,以及相关网络指标,包括 172.86.113.102144.172.114.220 两个 IP 地址。研究人员还在样本中发现暴露的 Telegram 机器人令牌,认为这是攻击者在安全运营上的明显失误,可能为防守方监控或切断数据外传通道提供机会。

报告称,除 Lazarus 外,其他攻击团伙也出现了使用这一工具包的迹象,说明相关工具可能已在恶意生态中被共享或出售。Lazarus 近年来因多起规模巨大的加密资产盗窃而广受关注,此前其 macOS 攻击工具还包括 ApplejeusRustbucket。此次出现的 Mach-O Man 延续了该组织对苹果设备高价值用户的持续 targeting,同时降低了实施攻击的技术门槛。

研究人员建议,加密公司与金融科技企业应重点审计 LaunchAgents 目录,排查来自异常路径的 OneDrive 进程,并在无业务必要时限制指向 Telegram Bot API 的出站流量。对于终端用户而言,最重要的防线仍是不要执行网页或陌生会议链接中提供的终端命令,并通过独立渠道核验任何突发且未经请求的会议邀请。

本文最初由 Bit.Fan 发布。 欲了解更多加密货币新闻与市场洞察,请访问 www.bit.fan.
100

免责声明:

本平台展示的市场信息、项目资料与第三方内容仅用于行业信息分享,不构成任何形式的投资建议或收益承诺。

加密资产交易具有较高风险,用户应充分评估自身风险承受能力并独立作出决策,相关盈亏及法律责任由用户自行承担。