Zlonamerna programska oprema »Mach-O Man« krade podatke iz ključnice macOS v okviru kriptovalutne kampanje skupine Lazarus

Ključne ugotovitve:

• Severnokorejska skupina Lazarus je aprila 2026 razvila zlonamerno programsko opremo Mach-O Man, namenjeno uporabnikom macOS, ki delujejo na področju kriptovalut in fintech.
• Ekipa Quetzal podjetja Bitso je potrdila, da komplet, sestavljen v Go, omogoča krajo poverilnic, dostop do ključnice in iznos podatkov v štirih stopnjah.
• Varnostni raziskovalci so 22. aprila 2026 podjetja pozvali, naj blokirajo vabe ClickFix v Terminalu in pregledajo LaunchAgents za datoteke, ki se izdajajo za Onedrive.

Raziskovalci razkrili severnokorejsko zlonamerno programsko opremo za macOS, usmerjeno v ameriška podjetja s področja kriptovalut in Web3

Varnostni raziskovalci iz Bitsojeve ekipe Quetzal, ki sodelujejo s platformo peskovnika ANY.RUN, so 21. aprila 2026 javno razkrili ta komplet, potem ko so analizirali kampanjo, ki so jo poimenovali »Severna Koreja v Safari«. Ekipa je komplet povezala z nedavnimi obsežnimi kraji kriptovalut skupine Lazarus, vključno z napadi na KelpDAO in Drift, pri čemer je navedla, da skupina dosledno cilja na visoko cenjene uporabnike macOS v vlogah Web3 in fintech.

Mach-O Man je napisan v Go in kompiliran kot binarne datoteke Mach-O, zaradi česar je združljiv tako z Intelovimi kot z Apple Silicon računalniki. Komplet deluje v štirih ločenih fazah in je zasnovan za pridobivanje brskalnikovih poverilnic, vnosov v macOS Keychain ter dostopa do kriptovalutnih računov, preden izbriše sledi svojega delovanja.

Okužba se začne s socialnim inženiringom, ne z izkoriščanjem ranljivosti programske opreme. Napadalci ogrožajo ali se izdajajo za račune Telegram, ki pripadajo kolegom v krogih Web3 in kriptovalut. Ciljni uporabnik prejme nujno vabilo na sestanek prek Zoom, Microsoft Teams ali Google Meet, ki vsebuje povezavo do prepričljive lažne spletne strani, kot sta update-teams.live ali livemicrosft.com.

Lažna spletna stran prikaže simulirano napako pri povezavi in uporabnika napoti, naj za njeno odpravo skopira in prilepi ukaz v Terminal. Ta tehnika, znana kot Clickfix in tukaj prilagojena za macOS, uporabnika pripelje do izvedbe začetne datoteke stagerja, teamsSDK.bin, prek curl. Ker uporabnik ukaz izvede ročno, ga macOS Gatekeeper ne blokira.

Stager prenese lažni paket aplikacij, uporabi ad-hoc podpisovanje kode, da izgleda legitimno, in od uporabnika zahteva geslo za macOS. Okno se pri prvih dveh poskusih trese, pri tretjem pa sprejme poverilnice, kar je namerna izbira zasnove za vzpostavitev lažnega zaupanja.

Od tam naprej poročilo raziskovalca in drugi viri navajajo, da binarna datoteka profilerja prešteje ime gostitelja računalnika, UUID, CPU, podrobnosti operacijskega sistema, tekoče procese in razširitve brskalnikov v Brave, Chrome, Firefox, Safari, Opera in Vivaldi. Raziskovalci so opazili, da profiler vsebuje napako v kodi, ki ustvari neskončno zanko, kar povzroči opazne skoke CPU, ki lahko razkrijejo aktivno okužbo.

Modul za vztrajnost nato prenese preimenovano datoteko z imenom Onedrive v skrito pot v mapi z imenom »Antivirus Service« in registrira Launchagent z imenom com.onedrive.launcher.plist, da se samodejno zažene ob prijavi.

V zadnji fazi binarna datoteka za krajo podatkov z imenom macrasv2 zbira podatke o razširitvah brskalnika, baze podatkov s poverilnicami SQLite in elemente Keychain, jih stisne v datoteko zip in paket izvozi prek API-ja Telegram Bot. Raziskovalci so v binarni datoteki odkrili izpostavljen token Telegram bot, kar so opisali kot veliko varnostno pomanjkljivost, ki bi lahko omogočila branilcem, da nadzorujejo ali motijo kanal.

Ekipa Quetzal je objavila SHA-256 hash-e za vse glavne komponente, skupaj z omrežnimi indikatorji, ki kažejo na IP-naslova 172.86.113.102 in 144.172.114.220. Raziskovalci varnosti so opazili, da je bil komplet v uporabi tudi pri skupinah izven Lazarusa, kar kaže, da so bila orodja deljena ali prodana znotraj ekosistema akterjev groženj.

Skupina Lazarus, ki jo podjetja za obveščanje o grožnjah spremljajo tudi pod imenom Famous Chollima, je v zadnjih nekaj letih odgovorna za krajo kriptovalut v vrednosti več milijard dolarjev. Prejšnja orodja skupine za macOS so vključevala Applejeus in Rustbucket. Mach-O Man sledi istemu profilu ciljev, hkrati pa znižuje tehnično oviro za vdore v macOS.

Varnostnim ekipam v podjetjih za kriptovalute in fintech se priporoča, da pregledajo imenike Launchagents, spremljajo procese Onedrive, ki tečejo iz neobičajnih poti do datotek, in blokirajo izhodni promet Telegram Bot API, kjer to ni operativno potrebno. Uporabniki nikoli ne smejo vstavljati ukazov Terminala, kopiranih s spletnih strani, ali nezaželenih povezav za sestanke.

Organizacije, ki uporabljajo flote macOS v kriptografskih okoljih, kjer prevladujejo naprave Apple, morajo vsako nujno, nezaželeno povezavo za sestanek obravnavati kot potencialno vstopno točko, dokler je ne preverijo prek ločenega komunikacijskega kanala.