安全研究人员披露,朝鲜黑客组织 Lazarus 在2026年4月发起一轮针对加密货币与金融科技行业的macOS攻击活动,投放一款名为 Mach-O Man 的模块化恶意软件工具包。该工具主要瞄准Web3企业高管、开发者等高价值目标,意在窃取浏览器凭证、macOS钥匙串数据以及加密账户访问权限。
伪造会议邀请成主要入口
根据Bitso旗下Quetzal团队与沙箱平台ANY.RUN的分析,这轮被称为“朝鲜Safari”的攻击并不依赖软件漏洞,而是以社会工程学为核心。攻击者会冒充或劫持Telegram上的行业联系人,向受害者发送紧急会议邀请,并引导其访问伪造的Zoom、Microsoft Teams或Google Meet页面,例如假冒域名 update-teams.live 或 livemicrosft.com。
当受害者进入假页面后,会看到模拟的连接错误提示,并被要求复制粘贴一段终端命令“修复问题”。这种被称为 ClickFix 的手法在此次攻击中被适配到macOS环境。由于命令由用户手动执行,macOS的Gatekeeper机制无法有效拦截。
四阶段链路窃取敏感数据
研究人员表示,Mach-O Man使用Go语言编写,并编译为Mach-O二进制文件,可原生运行在Intel与Apple Silicon设备上。整个攻击链共分为 四个阶段。初始载荷会下载伪装应用包,并通过临时代码签名提升可信外观,随后诱导用户输入macOS密码。该弹窗在前两次会“失败并抖动”,第三次才接受口令,显然是刻意设计来增强真实性。
随后,攻击组件会收集主机名、UUID、CPU、操作系统信息、正在运行的进程以及多个浏览器的扩展详情,覆盖 Brave、Chrome、Firefox、Safari、Opera 和 Vivaldi。研究人员还发现其中一个分析模块存在编码缺陷,可能导致无限循环并引发明显的CPU占用飙升,这反而可能成为发现感染的线索。
在持久化阶段,恶意程序会将文件伪装为 Onedrive,隐藏在名为“Antivirus Service”的目录下,并创建 com.onedrive.launcher.plist 的LaunchAgent以实现登录自启。最终,名为 macrasv2 的窃密模块会搜集浏览器扩展数据、SQLite凭证数据库及钥匙串条目,压缩打包后通过 Telegram Bot API 外传。
研究机构公布IOC并发出防御建议
Quetzal团队已公开主要组件的SHA-256哈希以及相关网络指标,指向IP地址 172.86.113.102 和 144.172.114.220。研究人员还指出,恶意样本中暴露了Telegram机器人的令牌,这被视为攻击方一次严重的操作安全失误,理论上可能帮助防御方监控甚至干扰其数据传输通道。
Lazarus近年来因多起加密资产重大盗窃事件而广为人知,过往针对macOS的平台工具还包括 Applejeus 与 Rustbucket。研究人员警告称,企业应重点审计LaunchAgents目录、检查异常路径下运行的OneDrive进程,并在无业务需要时阻断Telegram Bot API外连。对于加密行业的macOS用户而言,任何未经核实的紧急会议链接以及网页提供的终端命令,都应视为高风险入口。

