Nordkoreas Lazarus-grupp har släppt ut ett modulärt skadligprogramspaket för macOS vid namn Mach-O Man, som använder falska mötesinbjudningar för att stjäla inloggningsuppgifter och åtkomst till kryptoplånböcker från chefer och utvecklare inom fintech-branschen.
Skadlig programvara Mach-O Man stjäl data från macOS-nyckelringen i Lazarus-gruppens kryptokampanj
SKRIVEN AV
DELA
Huvudpunkter:
- Nordkoreas Lazarus Group lanserade i april 2026 skadlig programvara vid namn Mach-O Man riktad mot macOS-användare inom krypto- och fintech-branschen.
- Bitso:s Quetzal-team bekräftade att det Go-kompilerade kitet möjliggör stöld av inloggningsuppgifter, åtkomst till nyckelringen och dataexfiltrering i fyra steg.
- Säkerhetsforskare uppmanade företag den 22 april 2026 att blockera Terminal-baserade ClickFix-beten och granska LaunchAgents för Onedrive-maskerade filer.
Forskare avslöjar nordkoreansk macOS-malware riktad mot amerikanska krypto- och Web3-företag
Säkerhetsforskare vid Bitso:s Quetzal Team, som arbetar tillsammans med sandbox-plattformen ANY.RUN, offentliggjorde verktyget den 21 april 2026 efter att ha analyserat en kampanj som de döpt till ”North Korea’s Safari”. Teamet kopplade verktyget till Lazarus senaste storskaliga kryptostölder, inklusive attacker mot KelpDAO och Drift, och hänvisade till gruppens konsekventa inriktning på högvärdiga macOS-användare inom Web3 och fintech.
Mach-O Man är skrivet i Go och kompilerat som Mach-O-binärer, vilket gör det kompatibelt med både Intel- och Apple Silicon-maskiner. Verktyget körs i fyra distinkta steg och är utformat för att samla in webbläsaruppgifter, macOS Keychain-poster och åtkomst till kryptokonton innan det raderar spåren efter sig.
Infektionen börjar med social manipulation, inte en mjukvaruexploit. Angriparna komprometterar eller utger sig för att vara Telegram-konton som tillhör kollegor inom Web3- och kryptomiljöer. Målet får en brådskande mötesinbjudan till Zoom, Microsoft Teams eller Google Meet som länkar till en övertygande falsk webbplats, såsom update-teams.live eller livemicrosft.com.
Den falska webbplatsen visar ett simulerat anslutningsfel och instruerar användaren att kopiera och klistra in ett Terminal-kommando för att lösa det. Denna teknik, känd som Clickfix och här anpassad för macOS, leder till att användaren kör den inledande stager-filen, teamsSDK.bin, via curl. Eftersom användaren kör kommandot manuellt blockerar inte macOS Gatekeeper det.
Stagern laddar ner ett falskt app-paket, tillämpar ad-hoc-kodsignering för att få det att verka legitimt och ber användaren om sitt macOS-lösenord. Fönstret skakar vid de två första försöken och accepterar inloggningsuppgifterna vid det tredje, ett medvetet designval för att skapa falskt förtroende.
Därefter, enligt forskarens rapport och andra källor, räknar en profiler-binärfil upp maskinens värdnamn, UUID, CPU, operativsystemdetaljer, aktiva processer och webbläsartillägg i Brave, Chrome, Firefox, Safari, Opera och Vivaldi. Forskarna noterade att profileraren innehåller en kodningsfel som skapar en oändlig loop, vilket orsakar märkbara CPU-toppar som kan avslöja en aktiv infektion.
En persistensmodul placerar sedan en omdöpt fil med namnet Onedrive i en dold sökväg under en mapp märkt ”Antivirus Service” och registrerar en Launchagent med namnet com.onedrive.launcher.plist så att den körs automatiskt vid inloggning.
I det sista steget samlar en stöldbinär med namnet macrasv2 in data från webbläsartillägg, SQLite-databaser med inloggningsuppgifter och Keychain-objekt, komprimerar dem till en zip-fil och exfiltrerar paketet via Telegram Bot API. Forskarna fann att Telegram-bot-tokenet var exponerat i binären, vilket de beskrev som ett allvarligt operativt säkerhetsfel som skulle kunna göra det möjligt för försvarare att övervaka eller störa kanalen.
Quetzal-teamet publicerade SHA-256-hashar för alla huvudkomponenter, tillsammans med nätverksindikatorer som pekar på IP-adresserna 172.86.113.102 och 144.172.114.220. Säkerhetsforskare noterade att verktygssatsen har observerats användas av grupper utöver Lazarus, vilket tyder på att verktygen har delats eller sålts inom ekosystemet för hotaktörer.
Lazarus, som även spåras som Famous Chollima av hotinformationsföretag, har kopplats till kryptovalutastölder värda miljarder dollar under de senaste åren. Gruppens tidigare macOS-verktyg inkluderade Applejeus och Rustbucket. Mach-O Man följer samma målprofil samtidigt som den sänker den tekniska tröskeln för att kompromettera macOS.
Volo Protocol förlorar 3,5 miljoner dollar i en säkerhetslucka i Sui-blockkedjan och stoppar försök att överbrygga WBTC
Volo Protocol förlorade 3,5 miljoner dollar i samband med en säkerhetslucka i Sui-blockkedjan den 21 april 2026. En komprometterad administratörsnyckel tömde valven med WBTC, XAUm och USDC. read more.
Läs nu
Volo Protocol förlorar 3,5 miljoner dollar i en säkerhetslucka i Sui-blockkedjan och stoppar försök att överbrygga WBTC
Volo Protocol förlorade 3,5 miljoner dollar i samband med en säkerhetslucka i Sui-blockkedjan den 21 april 2026. En komprometterad administratörsnyckel tömde valven med WBTC, XAUm och USDC. read more.
Läs nuVolo Protocol förlorar 3,5 miljoner dollar i en säkerhetslucka i Sui-blockkedjan och stoppar försök att överbrygga WBTC
Läs nuVolo Protocol förlorade 3,5 miljoner dollar i samband med en säkerhetslucka i Sui-blockkedjan den 21 april 2026. En komprometterad administratörsnyckel tömde valven med WBTC, XAUm och USDC. read more.
Säkerhetsteam på krypto- och fintech-företag rekommenderas att granska Launchagents-kataloger, övervaka Onedrive-processer som körs från ovanliga filvägar och blockera utgående Telegram Bot API-trafik där det inte är operativt nödvändigt. Användare bör aldrig klistra in Terminal-kommandon som kopierats från webbsidor eller oönskade möteslänkar.
Organisationer som använder macOS-flottor i kryptomiljöer med stor andel Apple-utrustning bör behandla alla brådskande, oönskade möteslänkar som en potentiell ingångspunkt tills de har verifierats via en separat kommunikationskanal.
