লাজারাস গ্রুপের ক্রিপ্টো ক্যাম্পেইনে Mach-O Man ম্যালওয়্যার macOS কীচেইন ডেটা চুরি করে

মূল বিষয়গুলো:

• উত্তর কোরিয়ার লাজারাস গ্রুপ এপ্রিল ২০২৬-এ ক্রিপ্টো ও ফিনটেক ভূমিকায় থাকা macOS ব্যবহারকারীদের লক্ষ্য করে Mach-O Man ম্যালওয়্যার মোতায়েন করে।
• Bitso-এর Quetzal Team নিশ্চিত করেছে যে Go-এ কম্পাইল করা এই কিট চারটি ধাপে ক্রেডেনশিয়াল চুরি, Keychain অ্যাক্সেস এবং ডেটা এক্সফিলট্রেশন সক্ষম করে।
• ২২ এপ্রিল, ২০২৬-এ নিরাপত্তা গবেষকেরা প্রতিষ্ঠানগুলোকে Terminal-ভিত্তিক ClickFix লিউর ব্লক করতে এবং Onedrive ছদ্মবেশী ফাইলের জন্য LaunchAgents অডিট করতে আহ্বান জানান।

গবেষকেরা উত্তর কোরীয় macOS ম্যালওয়্যার উন্মোচন করলেন, যা যুক্তরাষ্ট্রের ক্রিপ্টো ও Web3 প্রতিষ্ঠানগুলোকে লক্ষ্য করছে

Bitso-এর Quetzal Team-এর নিরাপত্তা গবেষকেরা, ANY.RUN স্যান্ডবক্স প্ল্যাটফর্মের সঙ্গে কাজ করে, ২১ এপ্রিল, ২০২৬-এ প্রকাশ্যে উন্মোচন করেন “North Korea’s Safari” নামে তাদের নামকরণ করা একটি ক্যাম্পেইন বিশ্লেষণের পর। দলটি কিটটিকে লাজারাসের সাম্প্রতিক বৃহৎ পরিসরের ক্রিপ্টো চুরির সঙ্গে যুক্ত করেছে—যার মধ্যে KelpDAO এবং Drift-এ আক্রমণও রয়েছে—এবং Web3 ও ফিনটেক ভূমিকায় উচ্চ-মূল্যের macOS ব্যবহারকারীদের ধারাবাহিকভাবে লক্ষ্য করার বিষয়টি উল্লেখ করেছে।

Mach-O Man Go ভাষায় লেখা এবং Mach-O বাইনারি হিসেবে কম্পাইল করা, ফলে এটি Intel এবং Apple Silicon—উভয় মেশিনেই নেটিভভাবে চলে। কিটটি চারটি স্বতন্ত্র ধাপে কাজ করে এবং নিজেকে মুছে ফেলার আগে ব্রাউজার ক্রেডেনশিয়াল, macOS Keychain এন্ট্রি এবং ক্রিপ্টো অ্যাকাউন্ট অ্যাক্সেস সংগ্রহ করার জন্য ডিজাইন করা।

সংক্রমণ শুরু হয় সফটওয়্যার এক্সপ্লয়েট দিয়ে নয়, সামাজিক প্রকৌশল দিয়ে। আক্রমণকারীরা Web3 এবং ক্রিপ্টো মহলের সহকর্মীদের টেলিগ্রাম অ্যাকাউন্ট কমপ্রোমাইজ করে বা ছদ্মবেশ ধারণ করে। লক্ষ্যব্যক্তি Zoom, Microsoft Teams, বা Google Meet-এর জন্য একটি জরুরি মিটিং ইনভাইট পায়, যা update-teams.live বা livemicrosft.com-এর মতো বিশ্বাসযোগ্য ভুয়া সাইটে নিয়ে যায়।

ভুয়া সাইটটি একটি সিমুলেটেড কানেকশন এরর দেখায় এবং তা সমাধান করতে ব্যবহারকারীকে একটি Terminal কমান্ড কপি-পেস্ট করতে নির্দেশ দেয়। Clickfix নামে পরিচিত এই কৌশলটি এখানে macOS-এর জন্য অভিযোজিত করা হয়েছে, যা ব্যবহারকারীকে curl-এর মাধ্যমে প্রাথমিক স্টেজার ফাইল teamsSDK.bin চালাতে প্ররোচিত করে। যেহেতু ব্যবহারকারী নিজে হাতে কমান্ডটি চালায়, macOS Gatekeeper এটি ব্লক করে না।

স্টেজারটি একটি ভুয়া অ্যাপ বান্ডল ডাউনলোড করে, বৈধ মনে করাতে ad-hoc কোড সাইনিং প্রয়োগ করে, এবং ব্যবহারকারীর কাছে তাদের macOS পাসওয়ার্ড চায়। প্রথম দুইবার চেষ্টায় উইন্ডোটি কেঁপে ওঠে এবং তৃতীয়বারে ক্রেডেনশিয়াল গ্রহণ করে—ভুয়া আস্থা তৈরির জন্য ইচ্ছাকৃত নকশা।

সেখান থেকে, গবেষকের প্রতিবেদন এবং অন্যান্য সূত্র অনুযায়ী, একটি profiler বাইনারি মেশিনের hostname, UUID, CPU, অপারেটিং সিস্টেমের বিস্তারিত, চলমান প্রসেস, এবং Brave, Chrome, Firefox, Safari, Opera, ও Vivaldi জুড়ে ব্রাউজার এক্সটেনশনগুলোর তালিকা বের করে। গবেষকেরা উল্লেখ করেছেন, profiler-এ একটি কোডিং বাগ রয়েছে যা ইনফিনিট লুপ তৈরি করে, ফলে লক্ষণীয় CPU স্পাইক হতে পারে—যা সক্রিয় সংক্রমণ প্রকাশ করে দিতে পারে।

এরপর একটি persistence মডিউল “Antivirus Service” নামে লেবেল করা একটি ফোল্ডারের নিচে লুকানো পাথে Onedrive নামে পুনঃনামকরণ করা একটি ফাইল ড্রপ করে এবং com.onedrive.launcher.plist নামে একটি Launchagent রেজিস্টার করে, যাতে লগইনের সময় এটি স্বয়ংক্রিয়ভাবে চালু হয়।

শেষ ধাপে, macrasv2 নামে লেবেল করা একটি stealer বাইনারি ব্রাউজার এক্সটেনশন ডেটা, SQLite ক্রেডেনশিয়াল ডাটাবেস, এবং Keychain আইটেম সংগ্রহ করে, সেগুলোকে zip ফাইলে কমপ্রেস করে, এবং Telegram Bot API-এর মাধ্যমে প্যাকেজটি এক্সফিলট্রেট করে। গবেষকেরা দেখেছেন, বাইনারিতে Telegram বট টোকেন উন্মুক্ত অবস্থায় ছিল, যা তারা বড় ধরনের অপারেশনাল সিকিউরিটি ব্যর্থতা বলে বর্ণনা করেছেন—যা প্রতিরক্ষাকারীদের চ্যানেলটি মনিটর বা বিঘ্নিত করতে সহায়তা করতে পারে।

Quetzal Team সব প্রধান কম্পোনেন্টের জন্য SHA-256 হ্যাশ প্রকাশ করেছে, সঙ্গে 172.86.113.102 এবং 144.172.114.220 আইপি ঠিকানার দিকে নির্দেশ করা নেটওয়ার্ক ইন্ডিকেটরও দিয়েছে। নিরাপত্তা গবেষকেরা উল্লেখ করেছেন, এই কিটটি লাজারাসের বাইরেও অন্যান্য গ্রুপের ব্যবহার করতে দেখা গেছে, যা ইঙ্গিত করে টুলিংটি থ্রেট অ্যাক্টর ইকোসিস্টেমের ভেতরে ভাগাভাগি বা বিক্রি করা হয়েছে।

Lazarus, যাকে থ্রেট ইন্টেলিজেন্স প্রতিষ্ঠানগুলো Famous Chollima নামেও ট্র্যাক করে, গত কয়েক বছরে বিলিয়ন ডলার পরিমাণ ক্রিপ্টোকারেন্সি চুরির জন্য দায়ী বলে অভিযুক্ত হয়েছে। গ্রুপটির পূর্ববর্তী macOS টুলগুলোর মধ্যে Applejeus এবং Rustbucket অন্তর্ভুক্ত ছিল। Mach-O Man একই টার্গেট প্রোফাইল অনুসরণ করে, তবে macOS কমপ্রোমাইজের প্রযুক্তিগত বাধা কমিয়ে দেয়।

ক্রিপ্টো এবং ফিনটেক প্রতিষ্ঠানের সিকিউরিটি টিমগুলোকে Launchagents ডিরেক্টরি অডিট করতে, অস্বাভাবিক ফাইল পাথ থেকে চলা Onedrive প্রসেস মনিটর করতে, এবং যেখানে অপারেশনালভাবে প্রয়োজন নেই সেখানে আউটবাউন্ড Telegram Bot API ট্রাফিক ব্লক করতে পরামর্শ দেওয়া হয়েছে। ব্যবহারকারীদের কখনও ওয়েব পেজ থেকে কপি করা Terminal কমান্ড বা অনাকাঙ্ক্ষিত মিটিং লিংক পেস্ট করা উচিত নয়।

Apple-প্রধান ক্রিপ্টো পরিবেশে macOS ফ্লিট পরিচালনাকারী প্রতিষ্ঠানগুলোর উচিত যে কোনো জরুরি, অনাকাঙ্ক্ষিত মিটিং লিংককে আলাদা যোগাযোগ চ্যানেল দিয়ে যাচাই না করা পর্যন্ত সম্ভাব্য এন্ট্রি পয়েন্ট হিসেবে বিবেচনা করা।