Lazarus Groupの暗号資産キャンペーンにおいて、Mach-O ManマルウェアがmacOSのKeychainデータを窃取

📄原文全文· trafilatura により自動抽出Gemini 翻譯5130 文字

北朝鮮のLazarus Groupは、偽の会議招待を利用してFintech企業の幹部や開発者から認証情報や暗号資産ウォレットへのアクセス権を盗み出す、Mach-O Manと呼ばれるモジュール式のmacOSマルウェアキットを展開している。 Mach-O ManマルウェアがLazarus Groupの暗号資産キャンペーンでmacOSのKeychainデータを窃取要点： - 北朝鮮のLazarus Groupは、2026年4月に暗号資産およびFintech分野のmacOSユーザーを標的としたMach-O Manマルウェアを展開した。 - BitsoのQuetzal Teamは、Go言語でコンパイルされたこのキットが、4つのステージを通じて認証情報の窃取、Keychainへのアクセス、データ流出を可能にすることを確認した。 - セキュリティ研究者は2026年4月22日、企業に対し、TerminalベースのClickFixによる誘導をブロックし、Onedriveを装ったファイルがないかLaunchAgentsを監査するよう呼びかけた。研究者が米国の暗号資産およびWeb3企業を標的とした北朝鮮のmacOSマルウェアを暴露 BitsoのQuetzal Teamのセキュリティ研究者は、ANY.RUNサンドボックスプラットフォームと協力し、「North Korea’s Safari」と名付けたキャンペーンを分析した後、2026年4月21日にこのキットを公開した。同チームは、KelpDAOやDriftへの攻撃を含むLazarusによる最近の大規模な暗号資産窃取とこのキットを結びつけ、同グループがWeb3やFintech分野の高価値なmacOSユーザーを一貫して標的にしていることを指摘した。 Mach-O ManはGoで記述され、Mach-Oバイナリとしてコンパイルされているため、IntelおよびApple Siliconの両方のマシンでネイティブに動作する。このキットは4つの異なるステージで実行され、ブラウザの認証情報、macOS Keychainのエントリ、暗号資産アカウントへのアクセス権を収集し、その後自身の痕跡を削除するように設計されている。感染はソフトウェアの脆弱性ではなく、ソーシャルエンジニアリングから始まる。攻撃者は、Web3や暗号資産コミュニティの同僚のTelegramアカウントを乗っ取るか、なりすます。標的は、Zoom、Microsoft Teams、またはGoogle Meetの緊急の会議招待を受け取り、update-teams.liveやlivemicrosft.comといった巧妙な偽サイトへのリンクに誘導される。偽サイトはシミュレートされた接続エラーを表示し、解決のためにTerminalコマンドをコピー＆ペーストするようユーザーに指示する。Clickfixとして知られ、ここではmacOS向けに調整されたこの手法により、ユーザーはcurlを介して最初のステージャーファイルであるteamsSDK.binを実行させられる。ユーザーが手動でコマンドを実行するため、macOS Gatekeeperはこれをブロックしない。ステージャーは偽のアプリバンドルをダウンロードし、アドホックなコード署名を適用して正当なものに見せかけ、macOSのパスワードをユーザーに要求する。ウィンドウは最初の2回は揺れ、3回目で認証情報を受け入れるが、これは偽の信頼を築くための意図的な設計である。そこから、研究者のレポートやその他の報告によると、プロファイラーバイナリがマシンのホスト名、UUID、CPU、OSの詳細、実行中のプロセス、およびBrave、Chrome、Firefox、Safari、Opera、Vivaldiのブラウザ拡張機能を列挙する。研究者は、プロファイラーに無限ループを引き起こすコーディングバグが含まれており、顕著なCPUスパイクが発生して感染が露呈する可能性があると指摘した。その後、永続化モジュールが「Antivirus Service」というラベルの付いたフォルダ内の隠しパスにOnedriveという名前のファイルを作成し、ログイン時に自動実行されるようcom.onedrive.launcher.plistというLaunchagentを登録する。最終ステージであるmacrasv2というラベルのステラーバイナリは、ブラウザ拡張機能のデータ、SQLiteの認証情報データベース、Keychainアイテムを収集し、それらをzipファイルに圧縮してTelegram Bot API経由で流出させる。研究者はバイナリ内にTelegramボットトークンが露出していることを発見し、これを防御側がチャネルを監視または妨害することを可能にする重大な運用セキュリティ上の失敗であると説明した。 Quetzal Teamは、すべての主要コンポーネントのSHA-256ハッシュと、IPアドレス172.86.113.102および144.172.114.220を指すネットワークインジケーターを公開した。セキュリティ研究者は、このキットがLazarus以外のグループによっても

データステータス✓ 全文抽出済み原文を読む（Bitcoin.com）

🔍過去の類似イベント· キーワード + 銘柄照合6 件

2026-04-22

類似度 230%關鍵字 macos/malware/crypto

2026-04-22

Lazarus Groupは、新たなMach-O Man攻撃により特に危険な存在となっている：CertiK

類似度 230%關鍵字 group/mach/man

2026-04-22

Apple Macユーザーは要注意！北韓のハッカー集団Lazarusが新たなマルウェア「Mach-O Man」を投入：たった一つの動作でPCが乗っ取られる

類似度 180%關鍵字 mach/man/lazarus

2026-04-21

Lazarus Group、Arbitrum が KelpDAO のエクスプロイトによる $71M を凍結した後、$175M の ETH を移動させた疑い