Mach-O Man 악성코드가 Lazarus Group의 암호화폐 캠페인에서 macOS Keychain 데이터를 탈취하다

📄전체 원문· trafilatura에 의해 자동 추출됨Gemini 翻譯5130 자

북한의 Lazarus Group은 Mach-O Man이라 불리는 모듈형 macOS 악성코드 키트를 배포하여, 가짜 회의 초대장을 통해 핀테크 임원 및 개발자들의 자격 증명과 암호화폐 지갑 접근 권한을 탈취하고 있습니다. Mach-O Man 악성코드는 Lazarus Group의 암호화폐 캠페인에서 macOS Keychain 데이터를 탈취합니다. 주요 내용: - 북한의 Lazarus Group은 2026년 4월, 암호화폐 및 핀테크 분야의 macOS 사용자를 표적으로 Mach-O Man 악성코드를 배포했습니다. - Bitso의 Quetzal Team은 Go로 컴파일된 이 키트가 4단계에 걸쳐 자격 증명 탈취, Keychain 접근, 데이터 유출을 가능하게 한다고 확인했습니다. - 보안 연구원들은 2026년 4월 22일, 기업들에게 Terminal 기반의 ClickFix 유인책을 차단하고 Onedrive로 위장한 파일에 대해 LaunchAgents를 감사할 것을 촉구했습니다. 연구원들이 미국 암호화폐 및 Web3 기업을 표적으로 하는 북한의 macOS 악성코드를 폭로하다 Bitso의 Quetzal Team 소속 보안 연구원들은 ANY.RUN 샌드박스 플랫폼과 협력하여, "North Korea’s Safari"라고 명명한 캠페인을 분석한 후 2026년 4월 21일 해당 키트를 공개했습니다. 연구팀은 이 키트를 KelpDAO 및 Drift에 대한 공격을 포함하여 Lazarus의 최근 대규모 암호화폐 탈취 사건과 연결했으며, 해당 그룹이 Web3 및 핀테크 분야의 고가치 macOS 사용자를 지속적으로 표적으로 삼고 있다고 언급했습니다. Mach-O Man은 Go로 작성되어 Mach-O 바이너리로 컴파일되므로 Intel 및 Apple Silicon 기기 모두에서 네이티브로 실행됩니다. 이 키트는 4개의 별도 단계로 실행되며, 브라우저 자격 증명, macOS Keychain 항목, 암호화폐 계정 접근 권한을 수집한 후 자신의 흔적을 삭제하도록 설계되었습니다. 감염은 소프트웨어 취약점이 아닌 사회 공학적 기법으로 시작됩니다. 공격자는 Web3 및 암호화폐 업계 동료의 Telegram 계정을 해킹하거나 사칭합니다. 표적은 Zoom, Microsoft Teams 또는 Google Meet에 대한 긴급 회의 초대장을 받게 되며, 이는 update-teams.live나 livemicrosft.com과 같은 그럴듯한 가짜 사이트로 연결됩니다. 가짜 사이트는 가상의 연결 오류를 표시하고 이를 해결하기 위해 Terminal 명령어를 복사하여 붙여넣으라고 지시합니다. macOS에 맞게 조정된 Clickfix로 알려진 이 기법은 사용자가 curl을 통해 초기 스테이저 파일인 teamsSDK.bin을 실행하도록 유도합니다. 사용자가 명령어를 직접 실행하기 때문에 macOS Gatekeeper는 이를 차단하지 않습니다. 스테이저는 가짜 앱 번들을 다운로드하고 임시 코드 서명을 적용하여 합법적인 것처럼 보이게 한 뒤, 사용자에게 macOS 비밀번호를 요구합니다. 창은 처음 두 번의 시도에서는 흔들리다가 세 번째에 자격 증명을 수락하는데, 이는 거짓 신뢰를 구축하기 위한 의도적인 설계입니다. 그 후 연구원들의 보고서와 다른 기록들에 따르면, 프로파일러 바이너리가 기기의 호스트 이름, UUID, CPU, 운영 체제 세부 정보, 실행 중인 프로세스, 그리고 Brave, Chrome, Firefox, Safari, Opera, Vivaldi의 브라우저 확장 프로그램을 열거합니다. 연구원들은 프로파일러에 무한 루프를 생성하는 코딩 버그가 있어, 활성 감염을 노출시킬 수 있는 눈에 띄는 CPU 급증 현상이 발생한다고 지적했습니다. 이후 지속성 모듈은 "Antivirus Service"라는 폴더 아래의 숨겨진 경로에 Onedrive라는 이름으로 변경된 파일을 드롭하고, com.onedrive.launcher.plist라는 Launchagent를 등록하여 로그인 시 자동으로 실행되도록 합니다. macrasv2라고 표시된 최종 단계의 스틸러 바이너리는 브라우저 확장 데이터, SQLite 자격 증명 데이터베이스, Keychain 항목을 수집하여 zip 파일로 압축한 뒤, Telegram Bot API를 통해 패키지를 유출합니다. 연구원들은 바이너리 내에 노출된 Telegram 봇 토큰을 발견했으며, 이는 방어자가 채널을 모니터링하거나 방해할 수 있게 만드는 심각한 운영 보안 실패라고 설명했습니다. Quetzal Team은 모든 주요 구성 요소에

데이터 상태✓ 전체 내용 추출 완료원문 읽기 (Bitcoin.com)

🔍과거 유사 사건· 키워드 + 종목 매칭6 건

2026-04-22

Lazarus와 연관된 macOS 악성코드가 암호화폐 및 핀테크 기업을 공격하다

유사도 230%關鍵字 lazarus/macos/malware

2026-04-22

Lazarus Group은 새로운 Mach-O Man 공격으로 특히 위험해졌습니다: CertiK

유사도 230%關鍵字 lazarus/man/mach

2026-04-22

Apple Mac 사용자 주의! 북한 해커 Lazarus가 새로운 악성 코드 'Mach-O Man'을 배포: 단 한 번의 동작으로 컴퓨터를 장악하다

유사도 180%關鍵字 lazarus/man/mach

2026-04-30