Mach-O Man Malware Nagnanakaw ng Datos ng macOS Keychain sa Kampanya ng Lazarus Group sa Crypto

Mahahalagang Punto:

• Ang Lazarus Group ng North Korea ay nag-deploy ng Mach-O Man malware na tumatarget sa mga macOS user na nasa mga crypto at fintech na tungkulin noong Abril 2026.
• Kinumpirma ng Quetzal Team ng Bitso na ang Go-compiled na kit ay nagbibigay-daan sa pagnanakaw ng kredensyal, pag-access sa Keychain, at pag-exfiltrate ng data sa pamamagitan ng apat na yugto.
• Hinimok ng mga security researcher ang mga kumpanya noong Abril 22, 2026, na i-block ang Terminal-based na ClickFix lures at i-audit ang LaunchAgents para sa mga file na nagpapanggap bilang Onedrive.

Inilantad ng mga Mananaliksik ang North Korean macOS Malware na Tumutarget sa mga U.S. Crypto at Web3 Firm

Ang mga security researcher sa Quetzal Team ng Bitso, na nakipagtulungan sa ANY.RUN sandbox platform, ay pampublikong nagbunyag ng kit noong Abril 21, 2026, matapos suriin ang isang kampanya na pinangalanan nilang “North Korea’s Safari.” Iniugnay ng team ang kit sa mga kamakailang malakihang pagnanakaw ng crypto ng Lazarus, kabilang ang mga pag-atake sa KelpDAO at Drift, binanggit ang paulit-ulit na pagtutok ng grupo sa mga high-value na macOS user na may mga tungkulin sa Web3 at fintech.

Ang Mach-O Man ay nakasulat sa Go at na-compile bilang mga Mach-O binary, kaya native ito sa parehong Intel at Apple Silicon na mga makina. Tumatakbo ang kit sa apat na magkakahiwalay na yugto at idinisenyo upang kunin ang mga kredensyal sa browser, mga entry sa macOS Keychain, at access sa crypto account bago burahin ang mga bakas nito.

Nagsisimula ang impeksiyon sa social engineering, hindi sa software exploit. Kinokompromiso o ginagaya ng mga umaatake ang mga Telegram account na pag-aari ng mga kasamahan sa mga komunidad ng Web3 at crypto. Nakakatanggap ang target ng apurahang meeting invite para sa Zoom, Microsoft Teams, o Google Meet na nagli-link sa isang kapani-paniwalang pekeng site, gaya ng update-teams.live o livemicrosft.com.

Ipinapakita ng pekeng site ang isang ginayang error sa koneksiyon at inuutusan ang user na kopyahin at i-paste ang isang Terminal command upang ayusin ito. Ang teknik na ito, na kilala bilang Clickfix at inangkop dito para sa macOS, ay humahantong sa user na isagawa ang paunang stager file, teamsSDK.bin, sa pamamagitan ng curl. Dahil manu-manong pinapatakbo ng user ang command, hindi ito bina-block ng macOS Gatekeeper.

Ine-download ng stager ang isang pekeng app bundle, naglalapat ng ad-hoc code signing upang magmukhang lehitimo, at hinihingi ang macOS password ng user. Umaalog ang window sa unang dalawang pagtatangka at tinatanggap ang kredensyal sa ikatlo, isang sadyang disenyo upang bumuo ng maling tiwala.

Mula roon, ayon sa ulat ng mananaliksik, at ayon din sa ibang mga account, isang profiler binary ang nag-e-enumerate ng hostname, UUID, CPU, mga detalye ng operating system, mga tumatakbong proseso, at mga browser extension ng makina sa Brave, Chrome, Firefox, Safari, Opera, at Vivaldi. Napansin ng mga mananaliksik na may coding bug ang profiler na lumilikha ng infinite loop, na nagdudulot ng kapansin-pansing pagtaas ng CPU na maaaring maglantad ng aktibong impeksiyon.

Pagkatapos, ang isang persistence module ay naglalagay ng pinalitang pangalang file na tinatawag na Onedrive sa isang nakatagong path sa ilalim ng folder na may label na “Antivirus Service” at nagrerehistro ng Launchagent na tinatawag na com.onedrive.launcher.plist upang awtomatikong tumakbo ito sa pag-login.

Ang huling yugto, isang stealer binary na may label na macrasv2, ay kumokolekta ng data ng mga browser extension, mga SQLite credential database, at mga item sa Keychain, kinokompress ang mga ito sa isang zip file, at ini-exfiltrate ang package sa pamamagitan ng Telegram Bot API. Natuklasan ng mga mananaliksik na nakalantad ang Telegram bot token sa binary, na inilarawan nila bilang isang malaking kabiguan sa operational security na maaaring magbigay-daan sa mga depensang koponan na subaybayan o gambalain ang channel.

Naglabas ang Quetzal Team ng mga SHA-256 hash para sa lahat ng pangunahing bahagi, kasama ang mga network indicator na tumuturo sa mga IP address na 172.86.113.102 at 144.172.114.220. Binanggit ng mga security researcher na naobserbahan ang kit na ginagamit ng mga grupong lampas sa Lazarus, na nagpapahiwatig na ang tooling ay naibahagi o naibenta sa loob ng threat actor ecosystem.

Ang Lazarus, na sinusubaybayan din bilang Famous Chollima ng mga threat intelligence firm, ay naiugnay sa bilyun-bilyong dolyar na pagnanakaw ng cryptocurrency sa nakalipas na ilang taon. Kabilang sa mga nauna nitong macOS tool ang Applejeus at Rustbucket. Sinusundan ng Mach-O Man ang parehong target profile habang pinabababa ang teknikal na hadlang para sa mga kompromiso sa macOS.

Pinapayuhan ang mga security team sa mga crypto at fintech firm na i-audit ang mga Launchagents directory, mag-monitor para sa mga prosesong Onedrive na tumatakbo mula sa hindi pangkaraniwang mga file path, at i-block ang outbound na Telegram Bot API traffic kung hindi ito kinakailangan sa operasyon. Hindi dapat mag-paste ang mga user ng mga Terminal command na kinopya mula sa mga web page o mula sa mga hindi hinihinging meeting link.

Ang mga organisasyong nagpapatakbo ng mga macOS fleet sa mga crypto environment na mabigat sa Apple ay dapat ituring ang anumang apurahan at hindi hinihinging meeting link bilang isang posibleng entry point hanggang sa ma-verify sa pamamagitan ng hiwalay na channel ng komunikasyon.