Malware Mach-O Man mencuri data Keychain macOS dalam kampanye kripto Lazarus Group

📄Artikel lengkap· Diambil secara otomatis oleh trafilaturaGemini 翻譯5130 kata

Lazarus Group dari Korea Utara telah menyebarkan perangkat malware macOS modular bernama Mach-O Man yang menggunakan undangan rapat palsu untuk mencuri kredensial dan akses dompet kripto dari para eksekutif dan pengembang fintech. Malware Mach-O Man Mencuri Data Keychain macOS dalam Kampanye Kripto Lazarus Group Poin Penting: - Lazarus Group dari Korea Utara menyebarkan malware Mach-O Man yang menargetkan pengguna macOS di sektor kripto dan fintech pada April 2026. - Quetzal Team dari Bitso mengonfirmasi bahwa perangkat yang dikompilasi dengan Go ini memungkinkan pencurian kredensial, akses Keychain, dan eksfiltrasi data melalui empat tahap. - Peneliti keamanan mendesak perusahaan pada 22 April 2026 untuk memblokir umpan ClickFix berbasis Terminal dan mengaudit LaunchAgents untuk file yang menyamar sebagai Onedrive. Peneliti Mengungkap Malware macOS Korea Utara yang Menargetkan Perusahaan Kripto dan Web3 AS Peneliti keamanan di Quetzal Team dari Bitso, yang bekerja sama dengan platform sandbox ANY.RUN, mengungkapkan perangkat tersebut secara publik pada 21 April 2026, setelah menganalisis kampanye yang mereka namai “North Korea’s Safari.” Tim tersebut menghubungkan perangkat ini dengan pencurian kripto skala besar yang dilakukan Lazarus baru-baru ini, termasuk serangan terhadap KelpDAO dan Drift, dengan mengutip penargetan konsisten kelompok tersebut terhadap pengguna macOS bernilai tinggi di peran Web3 dan fintech. Mach-O Man ditulis dalam Go dan dikompilasi sebagai biner Mach-O, menjadikannya native untuk mesin Intel maupun Apple Silicon. Perangkat ini berjalan dalam empat tahap berbeda dan dirancang untuk memanen kredensial browser, entri Keychain macOS, dan akses akun kripto sebelum menghapus jejaknya sendiri. Infeksi dimulai dengan rekayasa sosial, bukan eksploitasi perangkat lunak. Penyerang mengompromikan atau meniru akun Telegram milik rekan kerja di lingkaran Web3 dan kripto. Target menerima undangan rapat mendesak untuk Zoom, Microsoft Teams, atau Google Meet yang menautkan ke situs palsu yang meyakinkan, seperti update-teams.live atau livemicrosft.com. Situs palsu tersebut menampilkan simulasi kesalahan koneksi dan menginstruksikan pengguna untuk menyalin dan menempelkan perintah Terminal untuk mengatasinya. Teknik ini, yang dikenal sebagai Clickfix dan diadaptasi di sini untuk macOS, menuntun pengguna untuk mengeksekusi file stager awal, teamsSDK.bin, melalui curl. Karena pengguna menjalankan perintah secara manual, macOS Gatekeeper tidak memblokirnya. Stager mengunduh bundel aplikasi palsu, menerapkan penandatanganan kode ad-hoc agar tampak sah, dan meminta kata sandi macOS pengguna. Jendela tersebut berguncang pada dua upaya pertama dan menerima kredensial pada upaya ketiga, sebuah pilihan desain yang disengaja untuk membangun kepercayaan palsu. Dari sana, laporan peneliti dan akun lain mengatakan biner profiler menghitung hostname mesin, UUID, CPU, detail sistem operasi, proses yang berjalan, dan ekstensi browser di Brave, Chrome, Firefox, Safari, Opera, dan Vivaldi. Peneliti mencatat profiler tersebut mengandung bug pengkodean yang menciptakan loop tak terbatas, menyebabkan lonjakan CPU yang nyata yang dapat mengungkap infeksi aktif. Modul persistensi kemudian menjatuhkan file yang diganti namanya menjadi Onedrive ke jalur tersembunyi di bawah folder berlabel “Antivirus Service” dan mendaftarkan Launchagent bernama com.onedrive.launcher.plist agar berjalan secara otomatis saat login. Tahap akhir, biner pencuri berlabel macrasv2, mengumpulkan data ekstensi browser, database kredensial SQLite, dan item Keychain, mengompresnya menjadi file zip, dan mengeksfiltrasi paket tersebut melalui Telegram Bot API. Peneliti menemukan token bot Telegram terekspos di dalam biner, yang mereka gambarkan sebagai kegagalan keamanan operasional besar yang dapat memungkinkan pihak pertahanan untuk memantau atau mengganggu saluran tersebut. Quetzal Team menerbitkan hash SHA-256 untuk semua komponen utama, bersama dengan indikator jaringan yang mengarah ke alamat IP 172.86.113.102 dan 144.172.114.220. Peneliti keamanan mencatat perangkat ini telah diamati digunakan oleh kelompok di luar Lazarus, menunjukkan bahwa alat tersebut telah dibagikan atau dijual dalam ekosistem pelaku ancaman. Lazarus, yang juga dilacak sebagai Famous Chollima oleh firma intelijen ancaman, telah dikaitkan dengan pencurian mata uang kripto senilai miliaran dolar selama beberapa tahun terakhir. Alat macOS kelompok tersebut sebelumnya termasuk Applejeus dan Rustbucket. Mach-O Man

Status data✓ Teks lengkap telah diambilBaca artikel asli (Bitcoin.com)

🔍Peristiwa serupa dalam sejarah· Pencocokan kata kunci + aset6 berita

2026-04-22

Malware macOS yang terkait dengan Lazarus menyerang perusahaan kripto dan fintech

Tingkat kemiripan 230%關鍵字 malware/macos/crypto

2026-04-22

Lazarus Group telah menjadi sangat berbahaya dengan serangan Mach-O Man yang baru: CertiK

Tingkat kemiripan 230%關鍵字 group/man/lazarus

2026-04-22

Pengguna Mac Apple waspada! Peretas Korea Utara Lazarus meluncurkan malware baru "Mach-O Man": satu tindakan untuk mengambil alih komputer Anda

Tingkat kemiripan 180%關鍵字 man/lazarus/mach

2026-04-30