北朝鮮のラザルス・グループは、「Mach-O Man」と呼ばれるモジュール式のmacOS向けマルウェアキットを展開しました。これは、偽の会議招待状を利用して、フィンテック企業の幹部や開発者から認証情報や暗号資産ウォレットへのアクセス権を盗み出すものです。 主なポイント:
「Mach-O Man」マルウェア、Lazarusグループによる暗号通貨関連の攻撃キャンペーンでmacOSのキーチェーンデータを盗みます
共有
- 北朝鮮のラザルス・グループは2026年4月、暗号資産やフィンテック業界に携わるmacOSユーザーを標的として、マルウェア「Mach-O Man」を展開しました。
- BitsoのQuetzalチームは、Go言語でコンパイルされたこのキットが、4段階のプロセスを通じて認証情報の窃取、キーチェーンへのアクセス、データの持ち出しを可能にすることを確認しました。
- セキュリティ研究者は2026年4月22日、企業に対してターミナルベースのClickFixを装った罠をブロックし、OneDriveを装ったファイルがないかLaunchAgentsを監査するよう強く求めています。
研究者らは、米国の暗号資産およびWeb3企業を標的とした北朝鮮のmacOSマルウェアを暴露しました。
BitsoのQuetzal Teamに所属するセキュリティ研究者はANY.RUNサンドボックスプラットフォームと連携し、「North Korea's Safari」と名付けたキャンペーンを分析した後、2026年4月21日にこのキットを公表しました。 同チームは、このキットをLazarusによる最近のKelpDAOやDriftへの攻撃を含む大規模な暗号資産窃取事件と関連付け、同グループがWeb3やフィンテック分野で重要な役割を担う高価値なmacOSユーザーを一貫して標的としていると指摘しました。
Mach-O ManはGo言語で記述され、Mach-Oバイナリとしてコンパイルされているため、IntelおよびApple Siliconマシン双方でネイティブに動作します。このキットは4つの異なる段階で実行され、ブラウザの認証情報、macOSキーチェーンのエントリ、および暗号資産アカウントへのアクセス権を収集した後、自身の痕跡を削除するように設計されています。
感染のきっかけはソフトウェアの脆弱性ではなくソーシャルエンジニアリングです。攻撃者はWeb3や暗号資産業界の関係者が所有するTelegramアカウントを乗っ取るか、なりすまします。標的となったユーザーはZoom、Microsoft Teams、Google Meetでの緊急会議へ招待されますが、その招待にはupdate-teams.liveやlivemicrosft.comなど、一見本物と見分けのつかない偽サイトへのリンクが添付されています。
偽サイトは接続エラーを模した画面を表示し、解決のためにターミナルコマンドをコピー&ペーストするようユーザーに指示します。Clickfixとして知られるこの手法はmacOS向けに改良されており、ユーザーを誘導してcurl経由で初期ステージャーファイル「teamsSDK.bin」を実行させます。ユーザーが手動でコマンドを実行するため、macOSのGatekeeperはこれをブロックしません。
このステイジャーは偽のアプリバンドルをダウンロードし、アドホックなコード署名を適用して正当なアプリに見せかけ、ユーザーにmacOSのパスワード入力を促します。最初の2回の試行ではウィンドウが揺れ、3回目で認証情報を受け入れます。これは、偽りの信頼を築くための意図的な設計です。
その後の動作については、研究者のレポートやその他の報告によると、プロファイラーバイナリがマシンのホスト名、UUID、CPU、OSの詳細、実行中のプロセス、およびBrave、Chrome、Firefox、Safari、Opera、Vivaldi各ブラウザの拡張機能を列挙するとのことです。研究者らは、プロファイラーに無限ループを引き起こすコーディング上のバグが含まれており、目立つCPUスパイクが発生することでアクティブな感染が露見する可能性があることを指摘しています。
その後、永続化モジュールが「Onedrive」とリネームされたファイルを「Antivirus Service」というラベルが付いたフォルダー内の隠しパスに配置し、ログイン時に自動的に実行されるよう「com.onedrive.launcher.plist」という名前のLaunchagentを登録します。
最終段階では、「macrasv2」とラベル付けされた情報窃取バイナリがブラウザ拡張機能のデータ、SQLite認証情報データベース、キーチェーンの項目を収集し、それらをzipファイルに圧縮してTelegram Bot APIを通じて外部へ流出させます。研究者らは、このバイナリ内にTelegramボットのトークンが露出していることを発見しました。これは重大な運用セキュリティ上の欠陥であり、防御側がチャネルを監視または妨害する可能性があると指摘しています。
Quetzal Teamは主要コンポーネントすべてのSHA-256ハッシュと、IPアドレス172.86.113.102および144.172.114.220を指すネットワークインジケーターを公開しました。セキュリティ研究者によると、このキットはLazarus以外のグループにも使用されており、このツールセットが脅威アクターのエコシステム内で共有または販売されている可能性を示唆しています。
脅威インテリジェンス企業によって「Famous Chollima」としても追跡されているLazarusは、過去数年にわたり数十億ドル規模の仮想通貨窃盗に関与しているとされています。同グループの以前のmacOS向けツールにはApplejeusやRustbucketがありました。Mach-O ManはmacOSを侵害するための技術的ハードルを下げつつ、これらと同じ標的プロファイルに従っています。
Volo Protocolは、Suiブロックチェーンの脆弱性を悪用された結果、350万ドルを失いました。また、WBTCブリッジへの攻撃は阻止されました。
2026年4月21日、Volo ProtocolはSuiブロックチェーンの脆弱性を突いた攻撃を受け、350万ドルの損害を被りました。侵害された管理者キーにより、WBTC、XAUm、USDCの保管庫から資金が流出ししました。 read more.
今すぐ読む
Volo Protocolは、Suiブロックチェーンの脆弱性を悪用された結果、350万ドルを失いました。また、WBTCブリッジへの攻撃は阻止されました。
2026年4月21日、Volo ProtocolはSuiブロックチェーンの脆弱性を突いた攻撃を受け、350万ドルの損害を被りました。侵害された管理者キーにより、WBTC、XAUm、USDCの保管庫から資金が流出ししました。 read more.
今すぐ読むVolo Protocolは、Suiブロックチェーンの脆弱性を悪用された結果、350万ドルを失いました。また、WBTCブリッジへの攻撃は阻止されました。
今すぐ読む2026年4月21日、Volo ProtocolはSuiブロックチェーンの脆弱性を突いた攻撃を受け、350万ドルの損害を被りました。侵害された管理者キーにより、WBTC、XAUm、USDCの保管庫から資金が流出ししました。 read more.
暗号資産やフィンテック企業のセキュリティチームには、Launchagentsディレクトリの監査を実施し、不審なファイルパスから実行されているOneDriveプロセスを監視し、業務上必要のないTelegram Bot APIへのアウトバウンドトラフィックをブロックすることが推奨されます。ユーザーは、ウェブページからコピーしたターミナルコマンドや不審な会議リンクを絶対に貼り付けてはいけません。
Apple製品を多用する暗号資産環境でmacOS端末群を運用している組織は、別の通信チャネルを通じて確認されるまでは、緊急を要する不審な会議リンクをすべて潜在的な侵入経路として扱うべきです。
