Perisian Hasad Mach-O Man Mencuri Data Keychain macOS dalam Kempen Kripto Kumpulan Lazarus

Pengambilan Utama:

• Kumpulan Lazarus Korea Utara menggunakan perisian hasad Mach-O Man yang menyasarkan pengguna macOS dalam peranan kripto dan fintech pada April 2026.
• Pasukan Quetzal Bitso mengesahkan kit yang dikompilasi dalam Go ini membolehkan kecurian kelayakan, akses Keychain, dan eksfiltrasi data melalui empat peringkat.
• Penyelidik keselamatan menggesa firma pada 22 April 2026 untuk menyekat umpan ClickFix berasaskan Terminal dan mengaudit LaunchAgents bagi fail penyamaran Onedrive.

Penyelidik Dedahkan Perisian Hasad macOS Korea Utara Yang Menyasarkan Firma Kripto dan Web3 A.S.

Penyelidik keselamatan di Pasukan Quetzal Bitso, yang bekerjasama dengan platform sandbox ANY.RUN, secara terbuka mendedahkan kit tersebut pada 21 April 2026, selepas menganalisis kempen yang mereka namakan “Safari Korea Utara.” Pasukan itu mengaitkan kit tersebut dengan kecurian kripto berskala besar Lazarus kebelakangan ini, termasuk serangan ke atas KelpDAO dan Drift, dengan merujuk kepada penyasaran konsisten kumpulan itu terhadap pengguna macOS bernilai tinggi dalam peranan Web3 dan fintech.

Mach-O Man ditulis dalam Go dan dikompilasi sebagai binari Mach-O, menjadikannya natif untuk mesin Intel dan Apple Silicon. Kit ini berjalan dalam empat peringkat berbeza dan direka untuk mengumpul kelayakan pelayar, entri macOS Keychain, dan akses akaun kripto sebelum memadam jejak dirinya.

Jangkitan bermula dengan kejuruteraan sosial, bukan eksploit perisian. Penyerang mengkompromi atau menyamar sebagai akaun Telegram milik rakan sekerja dalam komuniti Web3 dan kripto. Sasaran menerima jemputan mesyuarat segera untuk Zoom, Microsoft Teams, atau Google Meet yang memaut ke laman palsu yang meyakinkan, seperti update-teams.live atau livemicrosft.com.

Laman palsu itu memaparkan ralat sambungan yang disimulasikan dan mengarahkan pengguna untuk menyalin dan menampal arahan Terminal bagi menyelesaikannya. Teknik ini, dikenali sebagai Clickfix dan diadaptasi di sini untuk macOS, menyebabkan pengguna menjalankan fail stager awal, teamsSDK.bin, melalui curl. Oleh sebab pengguna menjalankan arahan tersebut secara manual, macOS Gatekeeper tidak menyekatnya.

Stager memuat turun pakej aplikasi palsu, menerapkan penandatanganan kod ad-hoc supaya kelihatan sah, dan meminta kata laluan macOS pengguna. Tetingkap akan bergegar pada dua percubaan pertama dan menerima kelayakan pada percubaan ketiga, satu pilihan reka bentuk yang disengajakan untuk membina kepercayaan palsu.

Dari situ, laporan penyelidik, dan akaun lain menyatakan binari profiler menyenaraikan nama hos mesin, UUID, CPU, butiran sistem pengendalian, proses yang sedang berjalan, dan sambungan pelayar merentas Brave, Chrome, Firefox, Safari, Opera, dan Vivaldi. Penyelidik menyatakan profiler tersebut mengandungi pepijat pengekodan yang mencipta gelung infiniti, menyebabkan lonjakan CPU yang ketara yang boleh mendedahkan jangkitan aktif.

Modul kelangsungan (persistence) kemudian menjatuhkan fail yang dinamakan semula sebagai Onedrive ke dalam laluan tersembunyi di bawah folder berlabel “Antivirus Service” dan mendaftarkan Launchagent bernama com.onedrive.launcher.plist supaya ia berjalan secara automatik ketika log masuk.

Peringkat akhir, binari pencuri berlabel macrasv2, mengumpul data sambungan pelayar, pangkalan data kelayakan SQLite, dan item Keychain, memampatkannya ke dalam fail zip, dan mengeksfiltrasikan pakej tersebut melalui Telegram Bot API. Penyelidik menemui token bot Telegram terdedah di dalam binari, yang mereka sifatkan sebagai kegagalan keselamatan operasi yang besar yang boleh membolehkan pihak pertahanan memantau atau mengganggu saluran tersebut.

Pasukan Quetzal menerbitkan hash SHA-256 untuk semua komponen utama, bersama penunjuk rangkaian yang menunjukkan alamat IP 172.86.113.102 dan 144.172.114.220. Penyelidik keselamatan menyatakan kit ini telah diperhatikan digunakan oleh kumpulan selain Lazarus, menunjukkan peralatan tersebut telah dikongsi atau dijual dalam ekosistem pelaku ancaman.

Lazarus, yang turut dijejaki sebagai Famous Chollima oleh firma risikan ancaman, telah dikaitkan dengan kecurian mata wang kripto bernilai berbilion dolar sepanjang beberapa tahun kebelakangan ini. Alat macOS kumpulan itu sebelum ini termasuk Applejeus dan Rustbucket. Mach-O Man mengikuti profil sasaran yang sama sambil menurunkan halangan teknikal untuk kompromi macOS.

Pasukan keselamatan di firma kripto dan fintech dinasihatkan untuk mengaudit direktori Launchagents, memantau proses Onedrive yang berjalan dari laluan fail yang luar biasa, dan menyekat trafik keluar Telegram Bot API di tempat yang tidak diperlukan untuk operasi. Pengguna tidak seharusnya menampal arahan Terminal yang disalin daripada laman web atau pautan mesyuarat yang tidak diminta.

Organisasi yang mengurus armada macOS dalam persekitaran kripto yang banyak menggunakan Apple hendaklah menganggap sebarang pautan mesyuarat segera yang tidak diminta sebagai titik kemasukan berpotensi sehingga disahkan melalui saluran komunikasi berasingan.