قامت مجموعة «لازاروس» الكورية الشمالية بنشر مجموعة برمجيات خبيثة معيارية لنظام macOS تُدعى «Mach-O Man»، تستخدم دعوات اجتماعات مزيفة لسرقة بيانات الاعتماد والوصول إلى محافظ العملات المشفرة الخاصة بمسؤولي ومطوري شركات التكنولوجيا المالية.
برنامج «Mach-O Man» الخبيث يسرق بيانات «Keychain» في نظام macOS ضمن حملة تشفيرية لمجموعة «Lazarus»
بقلم
مشاركة
النقاط الرئيسية:
- نشرت مجموعة لازاروس الكورية الشمالية في أبريل 2026 البرمجية الخبيثة Mach-O Man التي تستهدف مستخدمي macOS العاملين في مجال العملات المشفرة والتكنولوجيا المالية.
- أكد فريق Quetzal التابع لشركة Bitso أن المجموعة المُجمَّعة بلغة Go تتيح سرقة بيانات الاعتماد والوصول إلى Keychain وتسريب البيانات عبر أربع مراحل.
- حث باحثو الأمن الشركات في 22 أبريل 2026 على حظر طُعم ClickFix المستندة إلى Terminal وتدقيق LaunchAgents بحثًا عن ملفات Onedrive المقنعة.
باحثون يكشفون عن برمجيات خبيثة كورية شمالية تستهدف شركات العملات المشفرة وWeb3 الأمريكية
كشف باحثو الأمن في فريق Quetzal التابع لشركة Bitso، بالتعاون مع منصة ANY.RUN sandbox، عن هذه المجموعة علنًا في 21 أبريل 2026، بعد تحليل حملة أطلقوا عليها اسم "Safari الكورية الشمالية". ربط الفريق هذه المجموعة بعمليات سرقة العملات المشفرة واسعة النطاق التي نفذتها مجموعة Lazarus مؤخرًا، بما في ذلك الهجمات على KelpDAO وDrift، مشيرين إلى استهداف المجموعة المستمر لمستخدمي macOS ذوي القيمة العالية الذين يشغلون مناصب في Web3 والتكنولوجيا المالية.
تمت كتابة Mach-O Man بلغة Go وتجميعها كملفات ثنائية Mach-O، مما يجعلها أصلية لكل من أجهزة Intel وApple Silicon. تعمل المجموعة في أربع مراحل متميزة وهي مصممة لجمع بيانات اعتماد المتصفح، وإدخالات سلسلة مفاتيح macOS، والوصول إلى حسابات العملات المشفرة قبل حذف آثارها.
تبدأ الإصابة بالهندسة الاجتماعية، وليس باستغلال ثغرة في البرنامج. يقوم المهاجمون باختراق أو انتحال حسابات Telegram الخاصة بزملاء في دوائر Web3 والعملات المشفرة. يتلقى الهدف دعوة اجتماع عاجلة عبر Zoom أو Microsoft Teams أو Google Meet ترتبط بموقع مزيف مقنع، مثل update-teams.live أو livemicrosft.com.
يعرض الموقع المزيف خطأ اتصال مزيفًا ويوجه المستخدم إلى نسخ ولصق أمر Terminal لحله. هذه التقنية، المعروفة باسم Clickfix والمُكيّفة هنا لنظام macOS، تقود المستخدم إلى تنفيذ ملف stager الأولي، teamsSDK.bin، عبر curl. ونظرًا لأن المستخدم يُشغّل الأمر يدويًا، فإن macOS Gatekeeper لا يحظره.
يقوم الملف التمهيدي بتنزيل حزمة تطبيق مزيفة، ويطبق توقيعًا مخصصًا للرمز لجعلها تبدو شرعية، ويطلب من المستخدم إدخال كلمة مرور macOS الخاصة به. تهتز النافذة في المحاولتين الأوليين وتقبل بيانات الاعتماد في المحاولة الثالثة، وهو خيار تصميمي متعمد لبناء ثقة زائفة.
من هناك، يشير تقرير الباحثين، وغيره من الروايات، إلى أن ملف ثنائي للمُحدد يُعدد اسم مضيف الجهاز، وUUID، ووحدة المعالجة المركزية (CPU)، وتفاصيل نظام التشغيل، والعمليات قيد التشغيل، وملحقات المتصفح عبر Brave وChrome وFirefox وSafari وOpera وVivaldi. لاحظ الباحثون أن المُحدد يحتوي على خطأ في الترميز يخلق حلقة لا نهائية، مما يتسبب في ارتفاعات ملحوظة في وحدة المعالجة المركزية (CPU) يمكن أن تكشف عن إصابة نشطة.
ثم تقوم وحدة استمرارية بإسقاط ملف أعيدت تسميته باسم Onedrive في مسار مخفي ضمن مجلد يحمل اسم "Antivirus Service" وتسجل Launchagent باسم com.onedrive.launcher.plist بحيث يتم تشغيله تلقائيًا عند تسجيل الدخول.
في المرحلة النهائية، يقوم ملف ثنائي سارق يُسمى macrasv2 بجمع بيانات ملحقات المتصفح وقواعد بيانات بيانات اعتماد SQLite وعناصر Keychain، ويضغطها في ملف مضغوط، ويقوم بتسريب الحزمة عبر واجهة برمجة تطبيقات Telegram Bot. اكتشف الباحثون رمز Telegram bot مكشوفًا في الملف الثنائي، ووصفوه بأنه فشل أمني تشغيلي كبير قد يسمح للمدافعين بمراقبة القناة أو تعطيلها.
نشر فريق Quetzal تجزئات SHA-256 لجميع المكونات الرئيسية، إلى جانب مؤشرات الشبكة التي تشير إلى عناوين IP 172.86.113.102 و 144.172.114.220. لاحظ باحثو الأمن أن هذه المجموعة قد شوهدت قيد الاستخدام من قبل مجموعات أخرى غير Lazarus، مما يشير إلى أن هذه الأدوات قد تمت مشاركتها أو بيعها داخل منظومة الجهات الفاعلة في مجال التهديدات.
يُنسب إلى مجموعة Lazarus، التي تُعرف أيضًا باسم Famous Chollima من قبل شركات استخبارات التهديدات، سرقة عملات مشفرة بقيمة مليارات الدولارات على مدار السنوات القليلة الماضية. تضمنت أدوات المجموعة السابقة لنظام macOS Applejeus و Rustbucket. تتبع أداة Mach-O Man نفس ملف تعريف الهدف مع خفض الحاجز التقني لاختراق نظام macOS.
بروتوكول «فولو» يتكبد خسارة بقيمة 3.5 مليون دولار جراء استغلال ثغرة أمنية في بلوكشين «سوي»، ويحظر محاولة اختراق جسر «WBTC»
تكبد بروتوكول «فولو» خسارة قدرها 3.5 مليون دولار جراء استغلال ثغرة أمنية في بلوكشين «سوي» في 21 أبريل 2026. وقد أدى اختراق مفتاح إداري إلى استنزاف خزائن عملات «WBTC» و«XAUm» و«USDC». read more.
اقرأ الآن
بروتوكول «فولو» يتكبد خسارة بقيمة 3.5 مليون دولار جراء استغلال ثغرة أمنية في بلوكشين «سوي»، ويحظر محاولة اختراق جسر «WBTC»
تكبد بروتوكول «فولو» خسارة قدرها 3.5 مليون دولار جراء استغلال ثغرة أمنية في بلوكشين «سوي» في 21 أبريل 2026. وقد أدى اختراق مفتاح إداري إلى استنزاف خزائن عملات «WBTC» و«XAUm» و«USDC». read more.
اقرأ الآنبروتوكول «فولو» يتكبد خسارة بقيمة 3.5 مليون دولار جراء استغلال ثغرة أمنية في بلوكشين «سوي»، ويحظر محاولة اختراق جسر «WBTC»
اقرأ الآنتكبد بروتوكول «فولو» خسارة قدرها 3.5 مليون دولار جراء استغلال ثغرة أمنية في بلوكشين «سوي» في 21 أبريل 2026. وقد أدى اختراق مفتاح إداري إلى استنزاف خزائن عملات «WBTC» و«XAUm» و«USDC». read more.
يُنصح فرق الأمن في شركات العملات المشفرة والتكنولوجيا المالية بتدقيق دلائل Launchagents، ومراقبة عمليات Onedrive التي تعمل من مسارات ملفات غير معتادة، وحظر حركة مرور Telegram Bot API الصادرة عندما لا تكون مطلوبة من الناحية التشغيلية. يجب على المستخدمين عدم لصق أوامر Terminal المنسوخة من صفحات الويب أو روابط اجتماعات غير مرغوب فيها.
يجب على المؤسسات التي تدير أساطيل macOS في بيئات تشفير تعتمد بشكل كبير على Apple التعامل مع أي رابط اجتماع عاجل وغير مرغوب فيه على أنه نقطة دخول محتملة حتى يتم التحقق منه عبر قناة اتصال منفصلة.
