Oprogramowanie złośliwe Mach-O Man kradnie dane z pęku kluczy systemu macOS w ramach kampanii kryptowalutowej grupy Lazarus

Najważniejsze informacje:

• W kwietniu 2026 r. północnokoreańska grupa Lazarus wdrożyła złośliwe oprogramowanie Mach-O Man skierowane przeciwko użytkownikom systemu macOS zajmującym się kryptowalutami i technologiami finansowymi.
• Zespół Quetzal firmy Bitso potwierdził, że zestaw skompilowany w języku Go umożliwia kradzież danych uwierzytelniających, dostęp do pęku kluczy oraz wyciek danych w czterech etapach.
• 22 kwietnia 2026 r. badacze bezpieczeństwa wezwali firmy do blokowania przynęt ClickFix opartych na Terminalu oraz do przeprowadzenia audytu LaunchAgents pod kątem plików maskujących się jako Onedrive.

Badacze ujawniają północnokoreańskie złośliwe oprogramowanie dla systemu macOS skierowane przeciwko amerykańskim firmom z branży kryptowalut i Web3

Badacze bezpieczeństwa z zespołu Quetzal firmy Bitso, współpracujący z platformą sandbox ANY.RUN, ujawnili publicznie ten zestaw 21 kwietnia 2026 r. po przeanalizowaniu kampanii, którą nazwali „North Korea's Safari”. Zespół powiązał ten zestaw z niedawnymi kradzieżami kryptowalut na dużą skalę dokonywanymi przez Lazarus, w tym atakami na KelpDAO i Drift, powołując się na konsekwentne ataki tej grupy na użytkowników systemów macOS o wysokiej wartości, pełniących role w sektorze Web3 i fintech.

Mach-O Man jest napisany w języku Go i skompilowany jako pliki binarne Mach-O, dzięki czemu działa natywnie zarówno na komputerach z procesorami Intel, jak i Apple Silicon. Zestaw działa w czterech odrębnych etapach i jest zaprojektowany tak, aby pozyskać dane logowania do przeglądarki, wpisy z pęku kluczy macOS oraz dostęp do kont kryptowalutowych, a następnie usunąć po sobie wszelkie ślady.

Infekcja rozpoczyna się od socjotechniki, a nie od wykorzystania luki w oprogramowaniu. Atakujący przejmują lub podszywają się pod konta Telegram należące do współpracowników z kręgów Web3 i kryptowalut. Ofiara otrzymuje pilne zaproszenie na spotkanie w Zoom, Microsoft Teams lub Google Meet, które zawiera link do przekonującej fałszywej strony, takiej jak update-teams.live lub livemicrosft.com.

Fałszywa strona wyświetla symulowany błąd połączenia i instruuje użytkownika, aby skopiował i wkleił polecenie terminala w celu jego rozwiązania. Technika ta, znana jako Clickfix i dostosowana tutaj do systemu macOS, prowadzi użytkownika do uruchomienia początkowego pliku stager, teamsSDK.bin, za pomocą curl. Ponieważ użytkownik uruchamia polecenie ręcznie, Gatekeeper systemu macOS nie blokuje go.

Plik stager pobiera fałszywy pakiet aplikacji, stosuje doraźne podpisywanie kodu, aby wyglądał na legalny, i prosi użytkownika o podanie hasła do systemu macOS. Okno drga przy dwóch pierwszych próbach i akceptuje dane uwierzytelniające przy trzeciej, co jest celowym zabiegiem mającym na celu zbudowanie fałszywego zaufania.

Zgodnie z raportem badacza i innymi relacjami, plik binarny profilera wylicza nazwę hosta komputera, identyfikator UUID, procesor, szczegóły systemu operacyjnego, uruchomione procesy oraz rozszerzenia przeglądarek w przeglądarkach Brave, Chrome, Firefox, Safari, Opera i Vivaldi. Badacze zauważyli, że profiler zawiera błąd w kodzie, który tworzy pętlę nieskończoną, powodując zauważalne skoki obciążenia procesora, które mogą ujawnić aktywną infekcję.

Następnie moduł utrwalający umieszcza plik o zmienionej nazwie „Onedrive” w ukrytej ścieżce w folderze oznaczonym jako „Antivirus Service” i rejestruje agenta uruchamiającego o nazwie com.onedrive.launcher.plist, aby uruchamiał się automatycznie przy logowaniu.

W ostatnim etapie plik binarny typu stealer o nazwie macrasv2 zbiera dane rozszerzeń przeglądarki, bazy danych poświadczeń SQLite oraz elementy pęku kluczy, kompresuje je do pliku zip i wycieka pakiet przez API bota Telegram. Badacze znaleźli token bota Telegram ujawniony w pliku binarnym, co opisali jako poważną lukę w zabezpieczeniach operacyjnych, która mogłaby pozwolić obrońcom na monitorowanie lub zakłócanie działania kanału.

Zespół Quetzal opublikował skróty SHA-256 dla wszystkich głównych komponentów wraz ze wskaźnikami sieciowymi wskazującymi na adresy IP 172.86.113.102 i 144.172.114.220. Badacze bezpieczeństwa zauważyli, że zestaw ten był używany przez grupy inne niż Lazarus, co sugeruje, że narzędzia te były udostępniane lub sprzedawane w ekosystemie podmiotów stanowiących zagrożenie.

Grupa Lazarus, śledzona również przez firmy zajmujące się analizą zagrożeń pod nazwą Famous Chollima, jest odpowiedzialna za kradzież kryptowalut o wartości miliardów dolarów w ciągu ostatnich kilku lat. Wcześniejsze narzędzia tej grupy dla systemu macOS obejmowały Applejeus i Rustbucket. Mach-O Man ma ten sam profil docelowy, jednocześnie obniżając barierę techniczną dla ataków na system macOS.

Zespołom ds. bezpieczeństwa w firmach kryptowalutowych i fintechowych zaleca się przeprowadzenie audytu katalogów Launchagents, monitorowanie procesów Onedrive uruchamianych z nietypowych ścieżek plików oraz blokowanie wychodzącego ruchu API Telegram Bot, jeśli nie jest to wymagane operacyjnie. Użytkownicy nie powinni nigdy wklejać poleceń terminala skopiowanych ze stron internetowych ani linków do spotkań, których nie zamówili.

Organizacje korzystające z floty komputerów z systemem macOS w środowiskach kryptowalutowych, w których dominują produkty Apple, powinny traktować każdy pilny, nieproszony link do spotkania jako potencjalny punkt wejścia, dopóki nie zostanie zweryfikowany za pośrednictwem oddzielnego kanału komunikacji.