תוכנת הזדונית Mach-O Man גונבת נתוני Keychain של macOS בקמפיין הקריפטו של קבוצת Lazarus

תובנות מרכזיות:

• קבוצת Lazarus מצפון קוריאה פרסה את נוזקת Mach-O Man, המכוונת למשתמשי macOS בתפקידי קריפטו ופינטק, באפריל 2026.
• צוות Quetzal של Bitso אישר כי הערכה שנכתבה ב-Go מאפשרת גניבת אישורים, גישה ל-Keychain והדלפת נתונים בארבעה שלבים.
• חוקרי אבטחה קראו לחברות ב-22 באפריל 2026 לחסום פיתיונות ClickFix מבוססי Terminal ולבצע ביקורת ל-LaunchAgents עבור קבצים המתחזים ל-Onedrive.

חוקרים חושפים נוזקת macOS צפון-קוריאנית המכוונת לחברות קריפטו ו-Web3 בארה״ב

חוקרי אבטחה ב-צוות Quetzal של Bitso, שעבדו לצד פלטפורמת ה-sandbox של ANY.RUN, חשפו בפומבי את הערכה ב-21 באפריל 2026, לאחר שניתחו קמפיין שכינו “הספארי של צפון קוריאה”. הצוות קישר את הערכה לגניבות הקריפטו רחבות ההיקף האחרונות של Lazarus, כולל תקיפות על KelpDAO ועל Drift, תוך ציון המיקוד העקבי של הקבוצה במשתמשי macOS בעלי ערך גבוה בתפקידי Web3 ופינטק.

Mach-O Man נכתבת ב-Go ומקומפלת כבינארים מסוג Mach-O, מה שהופך אותה ל”טבעית” הן למחשבי Intel והן ל-Apple Silicon. הערכה פועלת בארבעה שלבים מובחנים ונועדה לאסוף אישורי דפדפן, רשומות macOS Keychain וגישה לחשבונות קריפטו לפני מחיקת עקבותיה.

ההדבקה מתחילה בהנדסה חברתית, לא בניצול תוכנה. תוקפים מתפשרים או מתחזים לחשבונות Telegram השייכים לעמיתים במעגלי Web3 וקריפטו. היעד מקבל הזמנה דחופה לפגישה ב-Zoom, Microsoft Teams, או Google Meet, שמקשרת לאתר מזויף ומשכנע, כגון update-teams.live או livemicrosft.com.

האתר המזויף מציג שגיאת התחברות מדומה ומנחה את המשתמש להעתיק ולהדביק פקודת Terminal כדי לפתור אותה. טכניקה זו, המוכרת בשם Clickfix והותאמה כאן ל-macOS, מובילה את המשתמש להריץ את קובץ ה-stager הראשוני, teamsSDK.bin, באמצעות curl. מכיוון שהמשתמש מריץ את הפקודה ידנית, macOS Gatekeeper אינו חוסם זאת.

ה-stager מוריד חבילת אפליקציה מזויפת, מחיל חתימת קוד ad-hoc כדי לגרום לה להיראות לגיטימית, ומבקש מהמשתמש את סיסמת ה-macOS שלו. החלון “רועד” בשני הניסיונות הראשונים ומקבל את האישור בניסיון השלישי—בחירת עיצוב מכוונת כדי לבנות אמון שווא.

מכאן, דו”ח החוקרים ו-דיווחים נוספים מציינים כי בינארי profiler ממפה את שם המארח של המחשב, UUID, המעבד, פרטי מערכת ההפעלה, תהליכים רצים ותוספי דפדפן ב-Brave, Chrome, Firefox, Safari, Opera ו-Vivaldi. החוקרים ציינו כי ה-profiler מכיל באג בקוד שיוצר לולאה אינסופית, הגורמת לקפיצות מורגשות בשימוש ב-CPU שעלולות לחשוף הדבקה פעילה.

מודול התמדה (persistence) לאחר מכן מפיל קובץ ששמו שונה ל-Onedrive לתוך נתיב נסתר תחת תיקייה המסומנת “Antivirus Service”, ורושם Launchagent בשם com.onedrive.launcher.plist כך שירוץ אוטומטית בעת התחברות.

השלב האחרון, בינארי גונב (stealer) בשם macrasv2, אוסף נתוני תוספי דפדפן, מסדי נתונים של אישורים מסוג SQLite ופריטי Keychain, דוחס אותם לקובץ zip ומדליף את החבילה באמצעות Telegram Bot API. החוקרים מצאו שטוקן הבוט של Telegram חשוף בתוך הבינארי, ותיארו זאת ככשל משמעותי באבטחה תפעולית שעלול לאפשר למגנים לנטר או לשבש את הערוץ.

צוות Quetzal פרסם גיבובי SHA-256 לכל הרכיבים המרכזיים, יחד עם אינדיקטורים לרשת המצביעים על כתובות IP ‏172.86.113.102 ו-144.172.114.220. חוקרי אבטחה ציינו כי הערכה נצפתה בשימוש גם בידי קבוצות מעבר ל-Lazarus, מה שמרמז שהכלים שותפו או נמכרו בתוך אקו-סיסטם שחקני האיום.

Lazarus, המנוטרת גם בשם Famous Chollima על ידי חברות מודיעין איומים, יוחסה לגניבת מטבעות קריפטוגרפיים בהיקף של מיליארדי דולרים במהלך השנים האחרונות. הכלים הקודמים של הקבוצה ל-macOS כללו את Applejeus ואת Rustbucket. Mach-O Man ממשיכה באותו פרופיל יעד תוך הורדת רף הידע הטכני הנדרש לפשרות macOS.

מומלץ לצוותי אבטחה בחברות קריפטו ופינטק לבצע ביקורת על תיקיות Launchagents, לנטר תהליכי Onedrive הרצים מנתיבי קבצים חריגים, ולחסום תעבורת Telegram Bot API יוצאת במקומות שבהם אינה נדרשת תפעולית. משתמשים לעולם לא צריכים להדביק פקודות Terminal שהועתקו מדפי אינטרנט או מקישורי פגישה שלא התבקשו.

ארגונים המפעילים צי מחשבי macOS בסביבות קריפטו עתירות-Apple צריכים להתייחס לכל קישור פגישה דחוף ולא-מבוקש כאל נקודת כניסה פוטנציאלית עד לאימות באמצעות ערוץ תקשורת נפרד.