Sjevernokorejska skupina Lazarus rasporedila je modularni komplet zlonamjernog softvera za macOS pod nazivom Mach-O Man koji koristi lažne pozivnice na sastanke kako bi ukrala vjerodajnice i pristup kripto novčanicima od rukovoditelja i programera u fintechu.
Zlonamjerni softver Mach-O Man krade podatke iz macOS privjeska ključeva u kripto kampanji grupe Lazarus
NAPISAO
PODIJELI
Ključne poruke:
- Sjevernokorejska skupina Lazarus u travnju 2026. rasporedila je zlonamjerni softver Mach-O Man ciljajući korisnike macOS-a u kripto i fintech ulogama.
- Quetzal Team tvrtke Bitso potvrdio je da komplet, kompajliran u Go-u, omogućuje krađu vjerodajnica, pristup Keychainu i eksfiltraciju podataka kroz četiri faze.
- Sigurnosni istraživači pozvali su tvrtke 22. travnja 2026. da blokiraju ClickFix mamce temeljene na Terminalu i pregledaju LaunchAgents radi datoteka koje se lažno predstavljaju kao Onedrive.
Istraživači razotkrili sjevernokorejski macOS zlonamjerni softver koji cilja američke kripto i Web3 tvrtke
Sigurnosni istraživači iz Quetzal Teama tvrtke Bitso, u suradnji s platformom ANY.RUN sandbox, javno su objavili komplet 21. travnja 2026., nakon analize kampanje koju su nazvali “North Korea’s Safari”. Tim je povezao komplet s Lazarusovim nedavnim velikim krađama kripta, uključujući napade na KelpDAO i Drift, navodeći dosljedno ciljanja skupine na visokovrijedne korisnike macOS-a u Web3 i fintech ulogama.
Mach-O Man je napisan u Go-u i kompajliran kao Mach-O binarne datoteke, što ga čini izvornim za Intel i Apple Silicon računala. Komplet radi u četiri različite faze i osmišljen je za prikupljanje vjerodajnica preglednika, unosa u macOS Keychainu i pristupa kripto računima prije brisanja tragova o sebi.
Zaraza započinje socijalnim inženjeringom, a ne softverskim iskorištavanjem ranjivosti. Napadači kompromitiraju ili se lažno predstavljaju putem Telegram računa koji pripadaju kolegama u Web3 i kripto krugovima. Meta prima hitnu pozivnicu na sastanak za Zoom, Microsoft Teams ili Google Meet koja vodi na uvjerljivu lažnu stranicu, poput update-teams.live ili livemicrosft.com.
Lažna stranica prikazuje simuliranu pogrešku povezivanja i upućuje korisnika da kopira i zalijepi naredbu u Terminal kako bi je otklonio. Ova tehnika, poznata kao Clickfix i ovdje prilagođena za macOS, navodi korisnika da izvrši početnu stager datoteku, teamsSDK.bin, putem curl-a. Budući da korisnik naredbu pokreće ručno, macOS Gatekeeper je ne blokira.
Stager preuzima lažni app bundle, primjenjuje ad-hoc potpisivanje koda kako bi izgledao legitimno i traži od korisnika njihovu macOS lozinku. Prozor se trese pri prva dva pokušaja i prihvaća vjerodajnicu pri trećem, što je namjeran dizajnerski izbor za izgradnju lažnog povjerenja.
Od tog trenutka, izvješće istraživača i drugi izvori navode da profiler binarna datoteka popisuje hostname računala, UUID, CPU, detalje operativnog sustava, pokrenute procese i ekstenzije preglednika u Braveu, Chromeu, Firefoxu, Safariju, Operi i Vivaldiju. Istraživači su primijetili da profiler sadrži programsku grešku koja stvara beskonačnu petlju, uzrokujući primjetne skokove opterećenja CPU-a koji mogu otkriti aktivnu infekciju.
Modul za perzistenciju potom ubacuje preimenovanu datoteku pod nazivom Onedrive u skrivenu putanju unutar mape označene “Antivirus Service” te registrira Launchagent pod nazivom com.onedrive.launcher.plist kako bi se automatski pokretao pri prijavi.
Završna faza, stealer binarna datoteka označena kao macrasv2, prikuplja podatke o ekstenzijama preglednika, SQLite baze podataka s vjerodajnicama i Keychain stavke, komprimira ih u zip datoteku i eksfiltrira paket putem Telegram Bot API-ja. Istraživači su pronašli Telegram bot token izložen u binarnoj datoteci, što su opisali kao veliki propust u operativnoj sigurnosti koji bi mogao omogućiti braniteljima nadzor ili ometanje kanala.
Quetzal Team objavio je SHA-256 hash vrijednosti za sve glavne komponente, zajedno s mrežnim indikatorima koji upućuju na IP adrese 172.86.113.102 i 144.172.114.220. Sigurnosni istraživači primijetili su da je komplet zabilježen u uporabi i kod skupina izvan Lazarusa, što sugerira da su alati podijeljeni ili prodani unutar ekosustava aktera prijetnji.
Lazarus, kojeg obavještajne tvrtke za prijetnje prate i pod nazivom Famous Chollima, pripisuje se krađa kriptovaluta u vrijednosti od više milijardi dolara tijekom posljednjih nekoliko godina. Raniji macOS alati skupine uključivali su Applejeus i Rustbucket. Mach-O Man slijedi isti profil ciljeva, uz snižavanje tehničke prepreke za kompromitacije macOS-a.
Volo Protocol gubi 3,5 milijuna dolara u eksploitu na Sui blockchainu, blokiran pokušaj premošćivanja WBTC-a
Volo Protocol izgubio je 3,5 milijuna dolara u eksploataciji na Sui blockchainu 21. travnja 2026. Kompromitirani administratorski ključ ispraznio je trezore WBTC, XAUm i USDC. read more.
Pročitaj
Volo Protocol gubi 3,5 milijuna dolara u eksploitu na Sui blockchainu, blokiran pokušaj premošćivanja WBTC-a
Volo Protocol izgubio je 3,5 milijuna dolara u eksploataciji na Sui blockchainu 21. travnja 2026. Kompromitirani administratorski ključ ispraznio je trezore WBTC, XAUm i USDC. read more.
PročitajVolo Protocol gubi 3,5 milijuna dolara u eksploitu na Sui blockchainu, blokiran pokušaj premošćivanja WBTC-a
PročitajVolo Protocol izgubio je 3,5 milijuna dolara u eksploataciji na Sui blockchainu 21. travnja 2026. Kompromitirani administratorski ključ ispraznio je trezore WBTC, XAUm i USDC. read more.
Sigurnosnim timovima u kripto i fintech tvrtkama savjetuje se da pregledaju direktorije Launchagents, prate Onedrive procese koji se pokreću s neuobičajenih putanja datoteka i blokiraju izlazni Telegram Bot API promet ondje gdje to nije operativno potrebno. Korisnici nikada ne bi trebali lijepiti Terminal naredbe kopirane s web stranica niti otvarati neželjene poveznice na sastanke.
Organizacije koje upravljaju flotama macOS uređaja u kripto okruženjima s velikim udjelom Applea trebale bi svaku hitnu, neželjenu poveznicu na sastanak tretirati kao potencijalnu ulaznu točku dok se ne provjeri putem zasebnog komunikacijskog kanala.
