Nordkoreas Lazarus-gruppe har udsendt et modulært macOS-malware-kit ved navn Mach-O Man, der bruger falske mødeinvitationer til at stjæle loginoplysninger og adgang til kryptovaluta-tegnebøger fra ledere og udviklere i fintech-branchen.
Mach-O Man-malware stjæler data fra macOS-nøgleringen i Lazarus-gruppens kryptokampagne
SKREVET AF
DEL
Hovedpunkter:
- Nordkoreas Lazarus-gruppe udsendte i april 2026 Mach-O Man-malware rettet mod macOS-brugere i krypto- og fintech-roller.
- Bitso's Quetzal Team bekræftede, at det Go-kompilerede kit muliggør tyveri af loginoplysninger, adgang til nøglering og dataeksfiltrering via fire trin.
- Sikkerhedsforskere opfordrede den 22. april 2026 virksomheder til at blokere Terminal-baserede ClickFix-lokkemidler og gennemgå LaunchAgents for Onedrive-maskeringsfiler.
Forskere afslører nordkoreansk macOS-malware rettet mod amerikanske krypto- og Web3-virksomheder
Sikkerhedsforskere hos Bitso's Quetzal Team, der arbejder sammen med ANY.RUN-sandboxplatformen, offentliggjorde kittet den 21. april 2026 efter at have analyseret en kampagne, de kaldte "Nordkoreas Safari". Teamet knyttede kittet til Lazarus' nylige kryptotyverier i stor skala, herunder angreb på KelpDAO og Drift, og henviste til gruppens konsekvente målretning mod højværdige macOS-brugere i Web3- og fintech-roller.
Mach-O Man er skrevet i Go og kompileret som Mach-O-binærfiler, hvilket gør det kompatibelt med både Intel- og Apple Silicon-maskiner. Kittet kører i fire forskellige faser og er designet til at indsamle browser-loginoplysninger, macOS Keychain-poster og adgang til kryptokonti, inden det sletter sporene efter sig selv.
Infektionen begynder med social engineering, ikke et software-exploit. Angribere kompromitterer eller udgiver sig for Telegram-konti, der tilhører kolleger i Web3- og kryptomiljøer. Målet modtager en presserende mødeinvitation til Zoom, Microsoft Teams eller Google Meet, der linker til et overbevisende falsk websted, såsom update-teams.live eller livemicrosft.com.
Den falske hjemmeside viser en simuleret forbindelsesfejl og instruerer brugeren i at kopiere og indsætte en Terminal-kommando for at løse den. Denne teknik, kendt som Clickfix og her tilpasset til macOS, får brugeren til at køre den indledende stager-fil, teamsSDK.bin, via curl. Da brugeren kører kommandoen manuelt, blokerer macOS Gatekeeper den ikke.
Stager-filen downloader et falsk app-bundle, anvender ad-hoc-kodesignering for at få det til at fremstå legitimt og beder brugeren om deres macOS-adgangskode. Vinduet ryster ved de to første forsøg og accepterer legitimationsoplysningerne ved det tredje, hvilket er et bevidst designvalg for at opbygge falsk tillid.
Derfra siger forskerens rapport og andre beretninger, at en profiler-binærfil opregner maskinens værtsnavn, UUID, CPU, operativsystemoplysninger, kørende processer og browserudvidelser på tværs af Brave, Chrome, Firefox, Safari, Opera og Vivaldi. Forskere bemærkede, at profiler-filen indeholder en kodningsfejl, der skaber en uendelig løkke, hvilket forårsager mærkbare CPU-spidsbelastninger, der kan afsløre en aktiv infektion.
Et persistensmodul placerer derefter en omdøbt fil kaldet Onedrive i en skjult sti under en mappe mærket "Antivirus Service" og registrerer en Launchagent kaldet com.onedrive.launcher.plist, så den kører automatisk ved login.
I den sidste fase indsamler en stealer-binærfil med navnet macrasv2 data om browserudvidelser, SQLite-databaser med legitimationsoplysninger og nøgleringselementer, komprimerer dem til en zip-fil og eksfiltrerer pakken via Telegram Bot API. Forskerne fandt Telegram-bot-tokenet eksponeret i binærfilen, hvilket de beskrev som en alvorlig sikkerhedsfejl, der kunne give forsvarere mulighed for at overvåge eller forstyrre kanalen.
Quetzal-teamet offentliggjorde SHA-256-hashværdier for alle vigtige komponenter sammen med netværksindikatorer, der peger på IP-adresserne 172.86.113.102 og 144.172.114.220. Sikkerhedsforskere bemærkede, at kittet er blevet observeret i brug af grupper ud over Lazarus, hvilket tyder på, at værktøjet er blevet delt eller solgt inden for trusselsaktørernes økosystem.
Lazarus, der også spores som Famous Chollima af trusselsanalysefirmaer, er blevet tilskrevet tyveri af kryptovaluta til en værdi af milliarder af dollars over de seneste år. Gruppens tidligere macOS-værktøjer omfattede Applejeus og Rustbucket. Mach-O Man følger den samme målprofil, samtidig med at den sænker den tekniske barriere for kompromittering af macOS.
Volo Protocol mister 3,5 millioner dollar i et sikkerhedsbrud på Sui-blockchain og blokerer forsøg på at omgå WBTC-broen
Volo Protocol mistede 3,5 millioner dollar i forbindelse med et sikkerhedsbrud på Sui-blockchain den 21. april 2026. En kompromitteret administratornøgle tømte WBTC-, XAUm- og USDC-boksene. read more.
Læs nu
Volo Protocol mister 3,5 millioner dollar i et sikkerhedsbrud på Sui-blockchain og blokerer forsøg på at omgå WBTC-broen
Volo Protocol mistede 3,5 millioner dollar i forbindelse med et sikkerhedsbrud på Sui-blockchain den 21. april 2026. En kompromitteret administratornøgle tømte WBTC-, XAUm- og USDC-boksene. read more.
Læs nuVolo Protocol mister 3,5 millioner dollar i et sikkerhedsbrud på Sui-blockchain og blokerer forsøg på at omgå WBTC-broen
Læs nuVolo Protocol mistede 3,5 millioner dollar i forbindelse med et sikkerhedsbrud på Sui-blockchain den 21. april 2026. En kompromitteret administratornøgle tømte WBTC-, XAUm- og USDC-boksene. read more.
Sikkerhedsteams hos krypto- og fintech-virksomheder rådes til at gennemgå Launchagents-mapper, overvåge Onedrive-processer, der kører fra usædvanlige filstier, og blokere udgående Telegram Bot API-trafik, hvor det ikke er operationelt nødvendigt. Brugere bør aldrig indsætte Terminal-kommandoer kopieret fra websider eller uopfordrede mødelinks.
Organisationer, der kører macOS-flåder i kryptomiljøer med stor andel af Apple-udstyr, bør behandle ethvert presserende, uopfordret mødelink som et potentielt indgangssted, indtil det er verificeret via en separat kommunikationskanal.
