Le malware Mach-O Man vole les données du trousseau macOS dans le cadre d'une campagne cryptographique du groupe Lazarus

• En avril 2026, le groupe nord-coréen Lazarus a déployé le malware Mach-O Man ciblant les utilisateurs de macOS travaillant dans les secteurs de la cryptomonnaie et de la fintech.
• L'équipe Quetzal de Bitso a confirmé que ce kit compilé en Go permet le vol d'identifiants, l'accès au trousseau et l'exfiltration de données en quatre étapes.
• Le 22 avril 2026, les chercheurs en sécurité ont exhorté les entreprises à bloquer les leurres ClickFix basés sur Terminal et à auditer les LaunchAgents à la recherche de fichiers se faisant passer pour Onedrive.

Des chercheurs dévoilent un malware nord-coréen pour macOS ciblant des entreprises américaines du secteur de la cryptomonnaie et du Web3

Les chercheurs en sécurité de l'équipe Quetzal de Bitso, en collaboration avec la plateforme de sandbox ANY.RUN, ont rendu public ce kit le 21 avril 2026, après avoir analysé une campagne qu'ils ont baptisée « North Korea's Safari ». L'équipe a établi un lien entre ce kit et les récents vols de cryptomonnaies à grande échelle perpétrés par Lazarus, notamment les attaques contre KelpDAO et Drift, soulignant que le groupe cible systématiquement les utilisateurs macOS de haut niveau occupant des postes dans les domaines du Web3 et de la fintech.

Mach-O Man est écrit en Go et compilé sous forme de binaires Mach-O, ce qui le rend compatible à la fois avec les machines Intel et Apple Silicon. Le kit s'exécute en quatre étapes distinctes et est conçu pour récolter les identifiants de navigateur, les entrées du trousseau macOS et l'accès aux comptes cryptos avant d'effacer toute trace de son passage.

L'infection commence par une attaque d'ingénierie sociale, et non par une faille logicielle. Les attaquants compromettent ou usurpent des comptes Telegram appartenant à des collègues des milieux Web3 et de la cryptomonnaie. La cible reçoit une invitation urgente à une réunion sur Zoom, Microsoft Teams ou Google Meet, qui renvoie vers un faux site convaincant, tel que update-teams.live ou livemicrosft.com.

Le faux site affiche une fausse erreur de connexion et demande à l'utilisateur de copier-coller une commande Terminal pour la résoudre. Cette technique, connue sous le nom de Clickfix et adaptée ici pour macOS, conduit l'utilisateur à exécuter le fichier stager initial, teamsSDK.bin, via curl. Comme l'utilisateur exécute la commande manuellement, Gatekeeper de macOS ne la bloque pas.

Le stager télécharge un faux bundle d'application, applique une signature de code ad hoc pour lui donner une apparence légitime, puis demande à l'utilisateur son mot de passe macOS. La fenêtre tremble lors des deux premières tentatives et accepte les identifiants à la troisième, un choix de conception délibéré visant à instaurer une fausse confiance.

À partir de là, le rapport du chercheur et d'autres témoignages indiquent qu'un binaire de profilage recense le nom d'hôte de la machine, son UUID, son processeur, les détails du système d'exploitation, les processus en cours d'exécution et les extensions de navigateur sur Brave, Chrome, Firefox, Safari, Opera et Vivaldi. Les chercheurs ont noté que le profilage contient un bug de codage qui crée une boucle infinie, provoquant des pics de CPU notables pouvant révéler une infection active.

Un module de persistance dépose ensuite un fichier renommé appelé Onedrive dans un chemin caché sous un dossier intitulé « Antivirus Service » et enregistre un Launchagent appelé com.onedrive.launcher.plist afin qu'il s'exécute automatiquement à la connexion.

Au cours de la dernière étape, un binaire de vol de données nommé macrasv2 collecte les données des extensions de navigateur, les bases de données d'identifiants SQLite et les éléments du trousseau, les compresse dans un fichier zip, puis exfiltre le paquet via l'API du bot Telegram. Les chercheurs ont découvert que le jeton du bot Telegram était exposé dans le binaire, ce qu'ils ont qualifié de faille de sécurité opérationnelle majeure susceptible de permettre aux défenseurs de surveiller ou de perturber le canal.

L'équipe Quetzal a publié les hachages SHA-256 de tous les composants principaux, ainsi que des indicateurs réseau pointant vers les adresses IP 172.86.113.102 et 144.172.114.220. Les chercheurs en sécurité ont noté que ce kit avait été observé en usage par des groupes autres que Lazarus, ce qui suggère que ces outils ont été partagés ou vendus au sein de l'écosystème des acteurs malveillants.

Lazarus, également suivi sous le nom de Famous Chollima par les sociétés de renseignement sur les menaces, a été impliqué dans des vols de cryptomonnaies s'élevant à plusieurs milliards de dollars au cours des dernières années. Les outils macOS précédents du groupe comprenaient Applejeus et Rustbucket. Mach-O Man cible le même profil de victimes tout en abaissant la barrière technique pour compromettre les systèmes macOS.

Il est conseillé aux équipes de sécurité des entreprises de cryptomonnaie et de fintech d'auditer les répertoires Launchagents, de surveiller les processus Onedrive s'exécutant à partir de chemins d'accès inhabituels et de bloquer le trafic sortant de l'API Telegram Bot lorsqu'il n'est pas nécessaire sur le plan opérationnel. Les utilisateurs ne doivent jamais coller des commandes Terminal copiées à partir de pages web ou de liens de réunion non sollicités.

Les organisations exploitant des parcs de machines macOS dans des environnements cryptographiques fortement dépendants d'Apple doivent considérer tout lien de réunion urgent et non sollicité comme un point d'entrée potentiel jusqu'à ce qu'il soit vérifié via un canal de communication distinct.