Nord-Koreas Lazarus Group har distribuert et modulært macOS-malware-sett kalt Mach-O Man som bruker falske møteinvitasjoner til å stjele legitimasjon og tilgang til kryptolommebøker fra fintech-ledere og utviklere.
Mach-O Man-skadevare stjeler macOS-nøkkelringdata i Lazarus-gruppens kryptokampanje
SKREVET AV
DEL
Viktige punkter:
- Nord-Koreas Lazarus Group distribuerte Mach-O Man-malware som rettet seg mot macOS-brukere i krypto- og fintech-roller i april 2026.
- Bitso sitt Quetzal Team bekreftet at settet, kompilert i Go, muliggjør legitimasjonstyveri, tilgang til Keychain og dataeksfiltrering gjennom fire stadier.
- Sikkerhetsforskere oppfordret selskaper 22. april 2026 til å blokkere Terminal-baserte ClickFix-lokkemidler og revidere LaunchAgents for filer som utgir seg for å være Onedrive.
Forskere avslører nordkoreansk macOS-malware som retter seg mot amerikanske krypto- og Web3-selskaper
Sikkerhetsforskere hos Bitso sitt Quetzal Team, i samarbeid med ANY.RUN-sandkasseplattformen, offentliggjorde settet 21. april 2026 etter å ha analysert en kampanje de kalte «North Korea’s Safari». Teamet knyttet settet til Lazarus sine nylige storskala kryptotyverier, inkludert angrep på KelpDAO og Drift, og viste til gruppens konsekvente målretting av macOS-brukere med høy verdi i Web3- og fintech-roller.
Mach-O Man er skrevet i Go og kompilert som Mach-O-binærfiler, noe som gjør den innfødt på både Intel- og Apple Silicon-maskiner. Settets kjøring skjer i fire tydelige stadier og er utformet for å hente ut nettleserlegitimasjon, macOS Keychain-oppføringer og tilgang til kryptokontoer før det sletter spor etter seg selv.
Infeksjonen begynner med sosial manipulering, ikke en programvareutnyttelse. Angripere kompromitterer eller utgir seg for å være Telegram-kontoer som tilhører kolleger i Web3- og kryptomiljøer. Målet mottar en hastende møteinvitasjon for Zoom, Microsoft Teams eller Google Meet som lenker til en overbevisende falsk nettside, som update-teams.live eller livemicrosft.com.
Den falske nettsiden viser en simulert tilkoblingsfeil og instruerer brukeren til å kopiere og lime inn en Terminal-kommando for å løse den. Denne teknikken, kjent som Clickfix og her tilpasset for macOS, får brukeren til å kjøre den innledende stager-filen, teamsSDK.bin, via curl. Fordi brukeren kjører kommandoen manuelt, blokkerer ikke macOS Gatekeeper den.
Stageren laster ned en falsk app-pakke, bruker ad-hoc-kodesignering for å få den til å fremstå legitim, og ber brukeren om macOS-passordet sitt. Vinduet rister ved de to første forsøkene og godtar legitimasjonen på det tredje, et bevisst designvalg for å bygge falsk tillit.
Derfra sier forskerens rapport, og andre kilder, at en profiler-binærfil kartlegger maskinens vertsnavn, UUID, CPU, operativsystemdetaljer, kjørende prosesser og nettleserutvidelser på tvers av Brave, Chrome, Firefox, Safari, Opera og Vivaldi. Forskerne bemerket at profilen inneholder en kodefeil som skaper en uendelig løkke, noe som gir merkbare CPU-topper som kan avsløre en aktiv infeksjon.
En persistensmodul slipper deretter en omdøpt fil kalt Onedrive inn i en skjult sti under en mappe merket «Antivirus Service» og registrerer en Launchagent kalt com.onedrive.launcher.plist slik at den kjører automatisk ved innlogging.
I siste fase samler en stjeler-binærfil merket macrasv2 inn nettleserutvidelsesdata, SQLite-legitimasjonsdatabaser og Keychain-elementer, komprimerer dem til en zip-fil og eksfiltrerer pakken via Telegram Bot API. Forskerne fant Telegram-bot-tokenet eksponert i binærfilen, noe de beskrev som en stor operasjonell sikkerhetssvikt som kan gjøre det mulig for forsvarere å overvåke eller forstyrre kanalen.
Quetzal Team publiserte SHA-256-hasher for alle hovedkomponenter, sammen med nettverksindikatorer som peker på IP-adressene 172.86.113.102 og 144.172.114.220. Sikkerhetsforskere bemerket at settet er observert i bruk av grupper utover Lazarus, noe som tyder på at verktøyene har blitt delt eller solgt i trusselaktør-økosystemet.
Lazarus, også sporet som Famous Chollima av trusseletterretningsselskaper, har blitt knyttet til kryptovalutatyveri for milliarder av dollar de siste årene. Gruppens tidligere macOS-verktøy inkluderte Applejeus og Rustbucket. Mach-O Man følger samme målprofil samtidig som den senker den tekniske terskelen for kompromittering av macOS.
Volo Protocol taper 3,5 millioner dollar i Sui-blockkjedeutnyttelse, stopper forsøk på WBTC-bro
Volo Protocol tapte 3,5 millioner dollar i et utnyttelsesangrep på Sui-blokkjeden 21. april 2026. En kompromittert admin-nøkkel tømte WBTC-, XAUm- og USDC-hvelv. read more.
Les nå
Volo Protocol taper 3,5 millioner dollar i Sui-blockkjedeutnyttelse, stopper forsøk på WBTC-bro
Volo Protocol tapte 3,5 millioner dollar i et utnyttelsesangrep på Sui-blokkjeden 21. april 2026. En kompromittert admin-nøkkel tømte WBTC-, XAUm- og USDC-hvelv. read more.
Les nåVolo Protocol taper 3,5 millioner dollar i Sui-blockkjedeutnyttelse, stopper forsøk på WBTC-bro
Les nåVolo Protocol tapte 3,5 millioner dollar i et utnyttelsesangrep på Sui-blokkjeden 21. april 2026. En kompromittert admin-nøkkel tømte WBTC-, XAUm- og USDC-hvelv. read more.
Sikkerhetsteam i krypto- og fintech-selskaper rådes til å revidere Launchagents-kataloger, overvåke Onedrive-prosesser som kjører fra uvanlige filstier, og blokkere utgående Telegram Bot API-trafikk der det ikke er operasjonelt nødvendig. Brukere bør aldri lime inn Terminal-kommandoer kopiert fra nettsider eller uoppfordrede møtelenker.
Organisasjoner som drifter macOS-flåter i Apple-tunge kryptomiljøer bør behandle enhver hastende, uoppfordret møtelenke som et potensielt inngangspunkt til den er verifisert gjennom en separat kommunikasjonskanal.
