라자루스 그룹의 암호화폐 공격 캠페인에서 ‘Mach-O Man’ 악성코드가 macOS 키체인 데이터를 탈취하다

• 북한의 라자루스 그룹은 2026년 4월, 암호화폐 및 핀테크 업계 종사자인 macOS 사용자를 겨냥한 'Mach-O Man' 악성코드를 배포했다.
• 비트소(Bitso)의 케찰(Quetzal) 팀은 Go 언어로 컴파일된 이 키트가 4단계 과정을 통해 자격 증명 탈취, 키체인 접근, 데이터 유출을 가능하게 한다고 확인했다.
• 보안 연구원들은 2026년 4월 22일, 기업들에게 터미널 기반의 ClickFix 미끼를 차단하고, 원드라이브(OneDrive)로 위장한 파일이 있는지 런치에이전트(LaunchAgents)를 점검할 것을 촉구했다.

연구진, 미국 암호화폐 및 Web3 기업을 노리는 북한산 macOS 악성코드 공개

Bitso의 Quetzal 팀 소속 보안 연구원들은 ANY.RUN 샌드박스 플랫폼과 협력하여, "북한의 Safari"라고 명명한 캠페인을 분석한 후 2026년 4월 21일 해당 키트를 공개했습니다. 이 팀은 라자루스(Lazarus)가 웹3 및 핀테크 분야의 고가치 macOS 사용자를 지속적으로 표적으로 삼고 있다는 점을 근거로, 이 키트를 KelpDAO 및 Drift에 대한 공격을 포함한 라자루스의 최근 대규모 암호화폐 탈취 사건과 연관 지었습니다.

'Mach-O Man'은 Go 언어로 작성되어 Mach-O 바이너리로 컴파일되었으며, 인텔 및 애플 실리콘 기반 시스템 모두에서 원활하게 실행됩니다. 이 키트는 네 단계로 진행되며, 브라우저 인증 정보, macOS 키체인 항목, 암호화폐 계정 접근 권한을 탈취한 후 자신의 흔적을 삭제하도록 설계되었습니다.

감염은 소프트웨어 취약점 악용이 아닌 사회공학 기법으로 시작됩니다. 공격자는 웹3 및 암호화폐 업계 동료들의 텔레그램 계정을 해킹하거나 사칭합니다. 표적은 줌(Zoom), 마이크로소프트 팀즈(Microsoft Teams), 구글 미트(Google Meet)를 통한 긴급 회의 초대장을 받게 되며, 이 초대장에는 update-teams.live나 livemicrosft.com과 같은 설득력 있는 가짜 사이트로 연결되는 링크가 포함되어 있습니다.

이 가짜 사이트는 연결 오류를 모방하여 표시하고, 이를 해결하기 위해 터미널 명령어를 복사하여 붙여넣으라고 사용자에게 지시합니다. '클릭픽스(Clickfix)'로 알려진 이 기법은 macOS에 맞게 변형되어, 사용자가 curl을 통해 초기 스테이저 파일인 teamsSDK.bin을 실행하도록 유도합니다. 사용자가 명령어를 수동으로 실행하기 때문에 macOS 게이트키퍼는 이를 차단하지 않습니다.

이 스테이저는 가짜 앱 번들을 다운로드하고, 이를 합법적으로 보이게 하기 위해 임시 코드 서명을 적용한 뒤 사용자에게 macOS 비밀번호 입력을 요청합니다. 창은 처음 두 번의 시도에서는 흔들리다가 세 번째 시도에서 자격 증명을 수락하는데, 이는 의도적으로 허위 신뢰감을 조성하기 위한 설계입니다.

연구 보고서와 다른 증언에 따르면, 이후 프로파일러 바이너리가 Brave, Chrome, Firefox, Safari, Opera, Vivaldi를 포함한 브라우저의 확장 기능을 비롯해 시스템의 호스트명, UUID, CPU, 운영 체제 세부 정보, 실행 중인 프로세스를 열거합니다. 연구진은 프로파일러에 무한 루프를 유발하는 코딩 버그가 포함되어 있어, 눈에 띄는 CPU 사용량 급증을 일으키며 이로 인해 활성 감염이 노출될 수 있다고 지적했습니다.

그 후, 지속성 모듈은 "Antivirus Service"라는 폴더 아래의 숨겨진 경로에 Onedrive라는 이름의 파일을 드롭하고, 로그인 시 자동으로 실행되도록 com.onedrive.launcher.plist라는 런치 에이전트를 등록합니다.

마지막 단계인 ‘macrasv2’라는 이름의 스틸러 바이너리는 브라우저 확장 프로그램 데이터, SQLite 자격 증명 데이터베이스 및 키체인 항목을 수집하여 ZIP 파일로 압축한 뒤, 텔레그램 봇 API를 통해 이 패키지를 외부로 유출합니다. 연구진은 바이너리에서 텔레그램 봇 토큰이 노출된 것을 발견했으며, 이는 방어 측이 채널을 모니터링하거나 방해할 수 있게 하는 중대한 운영 보안 결함이라고 설명했습니다.

Quetzal 팀은 모든 주요 구성 요소의 SHA-256 해시 값과 함께 IP 주소 172.86.113.102 및 144.172.114.220을 가리키는 네트워크 지표들을 공개했다. 보안 연구원들은 이 키트가 라자루스(Lazarus) 이외의 그룹에서도 사용된 것으로 관찰되었다고 지적하며, 이는 해당 도구가 위협 행위자 생태계 내에서 공유되거나 판매되었음을 시사한다고 밝혔다.

위협 인텔리전스 업체들이 'Famous Chollima'로도 추적하는 라자루스는 지난 몇 년간 수십억 달러 규모의 암호화폐 절도 사건과 연관되어 있습니다. 이 그룹의 기존 macOS 도구로는 Applejeus와 Rustbucket이 있습니다. Mach-O Man은 동일한 표적 프로필을 따르면서도 macOS 침투의 기술적 장벽을 낮췄습니다.

암호화폐 및 핀테크 기업의 보안 팀은 Launchagents 디렉터리를 점검하고, 비정상적인 파일 경로에서 실행되는 OneDrive 프로세스를 모니터링하며, 운영상 필요하지 않은 경우 외부로 나가는 Telegram Bot API 트래픽을 차단할 것을 권장합니다. 사용자는 웹 페이지에서 복사한 터미널 명령어나 요청하지 않은 회의 링크를 절대로 붙여넣어서는 안 됩니다.

애플 제품이 주를 이루는 암호화폐 환경에서 macOS 기기를 다수 운영하는 조직은, 별도의 통신 채널을 통해 확인될 때까지 긴급하거나 요청하지 않은 회의 링크를 잠재적인 침입 경로로 간주해야 합니다.