“Mach-O Man”恶意软件在Lazarus集团的加密货币攻击活动中窃取macOS钥匙串数据

• 2026年4月，朝鲜“拉撒路”组织部署了“Mach-O Man”恶意软件，目标是加密货币和金融科技领域的macOS用户。
• Bitso的Quetzal团队证实，该Go语言编译的工具包通过四个阶段实现凭证窃取、钥匙串访问及数据外泄。
• 安全研究人员于2026年4月22日敦促企业拦截基于终端的ClickFix诱饵，并审核LaunchAgents中伪装成OneDrive文件的恶意程序。

研究人员揭露朝鲜针对美国加密货币和Web3企业的macOS恶意软件

Bitso 旗下 Quetzal 团队的安全研究人员与 ANY.RUN 沙箱平台合作，在分析了他们命名为“朝鲜 Safari”的攻击活动后，于 2026 年 4 月 21 日公开披露了该工具包。 该团队将该工具包与Lazarus组织近期的大规模加密货币盗窃案联系起来，包括针对KelpDAO和Drift的攻击，并指出该组织一贯将Web3和金融科技领域的高价值macOS用户作为攻击目标。

Mach-O Man采用Go语言编写并编译为Mach-O二进制文件，因此可原生运行于英特尔和Apple Silicon架构的设备上。该工具包运行分为四个独立阶段，旨在窃取浏览器凭证、macOS钥匙串条目及加密货币账户访问权限，随后删除自身痕迹。

感染过程始于社会工程学手段，而非软件漏洞利用。攻击者会入侵或冒充 Web3 和加密货币圈内同事的 Telegram 账户。目标用户会收到一封来自 Zoom、Microsoft Teams 或 Google Meet 的紧急会议邀请，其中包含指向逼真伪造网站的链接，例如 update-teams.live 或 livemicrosft.com。

该假网站会显示模拟的连接错误，并指示用户复制粘贴一条终端命令以解决问题。这种被称为“Clickfix”的技术在此被改编用于 macOS，诱使用户通过 curl 执行初始加载程序文件 teamsSDK.bin。由于用户是手动运行该命令，macOS Gatekeeper 不会对其进行拦截。

该准备程序会下载一个伪造的应用程序包，通过临时代码签名使其看起来合法，并提示用户输入 macOS 密码。前两次尝试时窗口会抖动，第三次则接受凭据——这是为了建立虚假信任而刻意设计的。

据该研究人员的报告及其他描述，随后一个分析器二进制文件会枚举机器的主机名、UUID、CPU、操作系统详情、正在运行的进程，以及 Brave、Chrome、Firefox、Safari、Opera 和 Vivaldi 浏览器中的扩展程序。研究人员指出，该分析器存在一个导致无限循环的编码错误，会引发明显的 CPU 峰值，从而暴露正在进行的感染。

随后，一个持久化模块将一个重命名为“Onedrive”的文件放置在名为“Antivirus Service”的文件夹下的隐藏路径中，并注册了一个名为 com.onedrive.launcher.plist 的 Launchagent，使其在登录时自动运行。

最后阶段，一个名为 macrasv2 的窃取程序二进制文件会收集浏览器扩展数据、SQLite 凭证数据库和钥匙串项目，将其压缩为 zip 文件，并通过 Telegram Bot API 将该包外泄。研究人员在二进制文件中发现了暴露的 Telegram 机器人令牌，他们将此描述为一个重大的操作安全漏洞，可能允许防御者监控或中断该通道。

Quetzal 团队公布了所有主要组件的 SHA-256 哈希值，以及指向 IP 地址 172.86.113.102 和 144.172.114.220 的网络指标。安全研究人员指出，除 Lazarus 之外的其他组织也被观察到使用该工具包，这表明该工具已在威胁行为者生态系统内被共享或出售。

Lazarus（威胁情报公司亦称其为Famous Chollima）被认为在过去几年中涉及了数十亿美元的加密货币盗窃案。该组织此前开发的macOS工具包括Applejeus和Rustbucket。Mach-O Man延续了相同的目标定位，同时降低了入侵macOS系统的技术门槛。

建议加密货币和金融科技企业的安全团队对Launchagents目录进行审计，监控从异常文件路径运行的OneDrive进程，并在非业务必需的情况下阻断外发Telegram Bot API流量。用户切勿粘贴从网页复制的终端命令或未经请求的会议链接。

在以苹果设备为主的加密货币环境中运行macOS机队的组织，应将任何紧急且未经请求的会议链接视为潜在入侵点，直至通过独立通信渠道进行验证。