2026年4月,朝鲜黑客组织Lazarus Group再次升级针对macOS用户的攻击手段,推出名为Mach-O Man的新型模块化恶意软件套件。该套件由Bitso旗下Quetzal安全团队联合ANY.RUN沙箱平台发现,并于4月21日公开披露。攻击代号为“北朝鲜的Safari”,目标直指美国Web3和金融科技公司的高管及开发者。
四阶段攻击链:从社交工程到数据外泄
Mach-O Man使用Go语言编写并编译为Mach-O二进制文件,兼容Intel与Apple Silicon芯片。攻击流程分为四个阶段:首先,攻击者通过入侵或仿冒Web3圈内同事的Telegram账号,向目标发送紧急会议邀请(如Zoom、Microsoft Teams或Google Meet),链接指向伪造的更新页面(如update-teams.live或livemicrosft.com)。伪造页面显示连接错误,要求用户复制粘贴终端命令解决——即ClickFix技术的macOS变种。由于命令由用户手动执行,macOS Gatekeeper无法拦截。
第一阶段下载名为teamsSDK.bin的起始文件,随后安装虚假应用包,并通过ad-hoc代码签名伪装成合法软件。应用会连续三次弹出密码窗口:前两次故意抖动并拒绝输入,第三次才接受密码——这种设计旨在建立虚假信任,诱导用户输入真正的macOS密码。
深度枚举与持久化控制
第二阶段为分析型二进制文件,枚举主机信息(主机名、UUID、CPU、操作系统详情、运行进程)以及Brave、Chrome、Firefox、Safari、Opera、Vivaldi六大浏览器的扩展列表。研究人员指出,该分析器存在编码缺陷,会陷入无限循环,导致CPU出现异常高峰,反而成为感染的可识别标志。
第三阶段负责持久化:将恶意文件重命名为Onedrive,放入名为“Antivirus Service”的隐藏文件夹,并注册LaunchAgent(com.onedrive.launcher.plist),确保用户登录时自动运行。
最终偷窃者:窃取Keychain和加密钱包
最终阶段为偷窃二进制文件macrasv2,专门收集浏览器扩展数据、SQLite凭证数据库以及macOS Keychain条目(包括加密钱包密码、私钥提示等)。数据被压缩为zip文件,通过Telegram Bot API外传。安全团队发现,攻击者在二进制文件中暴露了Telegram Bot token——这一重大操作安全失误可被防御方用于监控甚至瘫痪其通信渠道。
关联与防御
Quetzal团队公布了所有主要组件的SHA-256哈希值以及两个IP地址(172.86.113.102和144.172.114.220)。值得注意的是,该套件已被Lazarus之外的其他组织使用,说明工具已在威胁生态中共享或出售。Lazarus此前曾使用Applejeus和Rustbucket等macOS恶意软件,而Mach-O Man在保持同类目标的同时降低了macOS入侵的技术门槛。
安全专家建议:加密及金融科技公司应审计LaunchAgent目录,监控从异常路径运行的Onedrive进程,并在非必要环境下拦截出站Telegram Bot API流量。用户切勿将从网页或不明会议链接复制的终端命令直接粘贴运行。

