Lazarus新型macOS木马瞄准加密高管:窃取钥匙串与钱包凭证

Lazarus新型macOS木马瞄准加密高管:窃取钥匙串与钱包凭证

N
News Editor 01
2026-07-08 14:40:17
朝鲜黑客组织Lazarus被曝投放名为Mach-O Man的macOS恶意软件,通过伪造会议邀请诱导受害者执行终端命令,目标直指加密与金融科技从业者。
LazarusmacOS安全加密货币攻击恶意软件Web3安全

安全研究人员披露,朝鲜黑客组织 Lazarus 在2026年4月发起一轮针对加密货币与金融科技行业的macOS攻击活动,投放一款名为 Mach-O Man 的模块化恶意软件工具包。该工具主要瞄准Web3企业高管、开发者等高价值目标,意在窃取浏览器凭证、macOS钥匙串数据以及加密账户访问权限。

伪造会议邀请成主要入口

根据Bitso旗下Quetzal团队与沙箱平台ANY.RUN的分析,这轮被称为“朝鲜Safari”的攻击并不依赖软件漏洞,而是以社会工程学为核心。攻击者会冒充或劫持Telegram上的行业联系人,向受害者发送紧急会议邀请,并引导其访问伪造的Zoom、Microsoft Teams或Google Meet页面,例如假冒域名 update-teams.livelivemicrosft.com

当受害者进入假页面后,会看到模拟的连接错误提示,并被要求复制粘贴一段终端命令“修复问题”。这种被称为 ClickFix 的手法在此次攻击中被适配到macOS环境。由于命令由用户手动执行,macOS的Gatekeeper机制无法有效拦截。

四阶段链路窃取敏感数据

研究人员表示,Mach-O Man使用Go语言编写,并编译为Mach-O二进制文件,可原生运行在Intel与Apple Silicon设备上。整个攻击链共分为 四个阶段。初始载荷会下载伪装应用包,并通过临时代码签名提升可信外观,随后诱导用户输入macOS密码。该弹窗在前两次会“失败并抖动”,第三次才接受口令,显然是刻意设计来增强真实性。

随后,攻击组件会收集主机名、UUID、CPU、操作系统信息、正在运行的进程以及多个浏览器的扩展详情,覆盖 Brave、Chrome、Firefox、Safari、Opera 和 Vivaldi。研究人员还发现其中一个分析模块存在编码缺陷,可能导致无限循环并引发明显的CPU占用飙升,这反而可能成为发现感染的线索。

在持久化阶段,恶意程序会将文件伪装为 Onedrive,隐藏在名为“Antivirus Service”的目录下,并创建 com.onedrive.launcher.plist 的LaunchAgent以实现登录自启。最终,名为 macrasv2 的窃密模块会搜集浏览器扩展数据、SQLite凭证数据库及钥匙串条目,压缩打包后通过 Telegram Bot API 外传。

研究机构公布IOC并发出防御建议

Quetzal团队已公开主要组件的SHA-256哈希以及相关网络指标,指向IP地址 172.86.113.102144.172.114.220。研究人员还指出,恶意样本中暴露了Telegram机器人的令牌,这被视为攻击方一次严重的操作安全失误,理论上可能帮助防御方监控甚至干扰其数据传输通道。

Lazarus近年来因多起加密资产重大盗窃事件而广为人知,过往针对macOS的平台工具还包括 ApplejeusRustbucket。研究人员警告称,企业应重点审计LaunchAgents目录、检查异常路径下运行的OneDrive进程,并在无业务需要时阻断Telegram Bot API外连。对于加密行业的macOS用户而言,任何未经核实的紧急会议链接以及网页提供的终端命令,都应视为高风险入口。

本文最初由 Bit.Fan 发布。 欲了解更多加密货币新闻与市场洞察,请访问 www.bit.fan.
100

免责声明:

本平台展示的市场信息、项目资料与第三方内容仅用于行业信息分享,不构成任何形式的投资建议或收益承诺。

加密资产交易具有较高风险,用户应充分评估自身风险承受能力并独立作出决策,相关盈亏及法律责任由用户自行承担。