लज़ारस ग्रुप के क्रिप्टो अभियान में मैक-ओ-मैन मैलवेयर macOS कीचेन डेटा चुरा रहा है।

मुख्य निष्कर्ष:

• उत्तर कोरिया के लाज़रस ग्रुप ने अप्रैल 2026 में क्रिप्टो और फिनटेक क्षेत्रों में macOS उपयोगकर्ताओं को लक्षित करते हुए Mach-O Man मैलवेयर तैनात किया।
• बिटसो की क्वेज़ल टीम ने पुष्टि की कि Go-कंपाइल्ड किट चार चरणों के माध्यम से प्रमाण-पत्र चोरी, कीचेन एक्सेस और डेटा एक्सफिल्ट्रेशन को सक्षम करती है।
• सुरक्षा शोधकर्ताओं ने 22 अप्रैल, 2026 को फर्मों से टर्मिनल-आधारित क्लिकफिक्स लुअर्स को ब्लॉक करने और ओनड्राइव के रूप में छिपी फाइलों के लिए लॉन्चएजेंट्स का ऑडिट करने का आग्रह किया।

शोधकर्ताओं ने अमेरिकी क्रिप्टो और वेब3 फर्मों को निशाना बनाने वाले उत्तर कोरियाई macOS मैलवेयर का खुलासा किया

बिट्सो की क्वेज़ल टीम के सुरक्षा शोधकर्ताओं ने, ANY.RUN सैंडबॉक्स प्लेटफ़ॉर्म के साथ मिलकर, 21 अप्रैल, 2026 को इस किट का सार्वजनिक रूप से खुलासा किया, एक अभियान का विश्लेषण करने के बाद जिसे उन्होंने "नॉर्थ कोरिया का सफारी" नाम दिया। टीम ने इस किट को लाज़रस की हालिया बड़े पैमाने पर हुई क्रिप्टो चोरी से जोड़ा, जिसमें केल्पडीएओ (KelpDAO) और ड्रिफ्ट (Drift) पर हुए हमले भी शामिल हैं, और वेब3 (Web3) और फिनटेक (fintech) भूमिकाओं में उच्च-मूल्य वाले मैकओएस (macOS) उपयोगकर्ताओं को समूह द्वारा लगातार निशाना बनाने का हवाला दिया।

मैक-ओ मैन को गो (Go) में लिखा गया है और इसे मैक-ओ बाइनरी के रूप में संकलित किया गया है, जो इसे इंटेल और एप्पल सिलिकॉन दोनों मशीनों के लिए नेटिव बनाता है। यह किट चार अलग-अलग चरणों में चलती है और इसे अपने निशान मिटाने से पहले ब्राउज़र क्रेडेंशियल, मैकओएस कीचेन प्रविष्टियों और क्रिप्टो खाते की पहुंच इकट्ठा करने के लिए डिज़ाइन किया गया है।

संक्रमण सॉफ्टवेयर एक्सप्लॉइट से नहीं, बल्कि सोशल इंजीनियरिंग से शुरू होता है। हमलावर Web3 और क्रिप्टो जगत में अपने सहयोगियों के टेलीग्राम खातों को हैक कर लेते हैं या उनकी नकल करते हैं। लक्ष्य को ज़ूम, माइक्रोसॉफ्ट टीम्स, या गूगल मीट के लिए एक तत्काल मीटिंग का निमंत्रण मिलता है, जिसमें update-teams.live या livemicrosft.com जैसी एक विश्वसनीय नकली साइट का लिंक होता है।

नकली साइट एक नकली कनेक्शन त्रुटि प्रदर्शित करती है और उपयोगकर्ता को इसे ठीक करने के लिए एक टर्मिनल कमांड को कॉपी और पेस्ट करने का निर्देश देती है। यह तकनीक, जिसे क्लिकफिक्स (Clickfix) के रूप में जाना जाता है और जिसे यहां macOS के लिए अनुकूलित किया गया है, उपयोगकर्ता को कर्ल (curl) के माध्यम से शुरुआती स्टेगर फ़ाइल, teamsSDK.bin, को निष्पादित करने के लिए प्रेरित करती है। चूंकि उपयोगकर्ता कमांड को मैन्युअल रूप से चलाता है, इसलिए macOS गेटकीपर (Gatekeeper) इसे ब्लॉक नहीं करता है।

स्टेगर एक नकली ऐप बंडल डाउनलोड करता है, इसे वैध दिखाने के लिए एड-हॉक कोड साइनिंग लागू करता है, और उपयोगकर्ता से उनका macOS पासवर्ड मांगता है। पहली दो कोशिशों में विंडो हिलती है और तीसरी बार क्रेडेंशियल स्वीकार कर लेती है, जो झूठा भरोसा बनाने के लिए एक जानबूझकर किया गया डिज़ाइन विकल्प है।

वहां से, शोधकर्ता की रिपोर्ट, और अन्य विवरणों के अनुसार एक प्रोफाइलर बाइनरी मशीन के होस्टनेम, यूयूआईडी, सीपीयू, ऑपरेटिंग सिस्टम के विवरण, चल रही प्रक्रियाओं, और ब्रेव, क्रोम, फ़ायरफ़ॉक्स, सफ़ारी, ओपेरा, और विवाल्डी में ब्राउज़र एक्सटेंशन की सूची बनाती है। शोधकर्ताओं ने पाया कि प्रोफाइलर में एक कोडिंग बग है जो एक अनंत लूप बनाता है, जिससे सीपीयू में ध्यान देने योग्य उछाल आता है जो एक सक्रिय संक्रमण को उजागर कर सकता है।

फिर एक पर्सिस्टेंस मॉड्यूल "एंटीवायरस सर्विस" लेबल वाले फ़ोल्डर के तहत एक छिपे हुए पथ में Onedrive नाम की एक पुनः नामित फ़ाइल छोड़ता है और com.onedrive.launcher.plist नामक एक Launchagent को पंजीकृत करता है ताकि यह लॉगिन पर स्वचालित रूप से चले।

अंतिम चरण, macrasv2 लेबल वाला एक स्टीलर बाइनरी, ब्राउज़र एक्सटेंशन डेटा, SQLite क्रेडेंशियल डेटाबेस, और कीचेन आइटम इकट्ठा करता है, उन्हें एक ज़िप फ़ाइल में संपीड़ित करता है, और टेलीग्राम बॉट एपीआई के माध्यम से पैकेज को बाहर भेजता है। शोधकर्ताओं को बाइनरी में टेलीग्राम बॉट टोकन एक्सपोज़्ड मिला, जिसे उन्होंने एक बड़ी परिचालन सुरक्षा विफलता बताया है जो रक्षकों को चैनल की निगरानी करने या उसे बाधित करने की अनुमति दे सकती है।

क्वेटज़ल टीम ने सभी प्रमुख घटकों के लिए SHA-256 हैश प्रकाशित किए, साथ ही नेटवर्क संकेत भी दिए जो 172.86.113.102 और 144.172.114.220 आईपी पतों की ओर इशारा करते हैं। सुरक्षा शोधकर्ताओं ने ध्यान दिया कि इस किट का उपयोग लाजरस के अलावा अन्य समूहों द्वारा भी किया गया है, जिससे यह पता चलता है कि इस टूलिंग को थ्रेट एक्टर इकोसिस्टम के भीतर साझा या बेचा गया है।

लाज़रस, जिसे थ्रेट इंटेलिजेंस फर्मों द्वारा फेमस चोलिमा के रूप में भी ट्रैक किया जाता है, पर पिछले कई वर्षों में अरबों डॉलर की क्रिप्टोकरेंसी चोरी का आरोप है। समूह के पिछले macOS टूल में Applejeus और Rustbucket शामिल थे। Mach-O Man भी उसी लक्ष्य प्रोफ़ाइल का अनुसरण करता है, जबकि macOS समझौतों के लिए तकनीकी बाधा को कम करता है।

क्रिप्टो और फिनटेक फर्मों की सुरक्षा टीमों को सलाह दी जाती है कि वे Launchagents डायरेक्टरी का ऑडिट करें, असामान्य फ़ाइल पथों से चल रही Onedrive प्रक्रियाओं की निगरानी करें, और जहाँ यह परिचालन रूप से आवश्यक नहीं है, वहाँ आउटबाउंड टेलीग्राम बॉट एपीआई ट्रैफ़िक को ब्लॉक करें। उपयोगकर्ताओं को वेब पेजों या अनचाहे मीटिंग लिंक से कॉपी की गई टर्मिनल कमांड कभी भी पेस्ट नहीं करनी चाहिए।

ऐप्पल-प्रधान क्रिप्टो वातावरण में macOS फ्लीट चलाने वाले संगठनों को किसी भी तत्काल, अनचाहे मीटिंग लिंक को एक संभावित प्रवेश बिंदु के रूप में मानना चाहिए, जब तक कि उसे एक अलग संचार चैनल के माध्यम से सत्यापित न कर लिया जाए।