Mach-O Man 惡意軟體在 Lazarus Group 的加密貨幣攻擊行動中竊取 macOS Keychain 資料

📄完整原文· 由 trafilatura 自动抓取Gemini 翻譯5130 字

朝鲜的 Lazarus Group 部署了一套名为 Mach-O Man 的模块化 macOS 恶意软件工具包，该工具包利用虚假的会议邀请，从金融科技高管和开发人员处窃取凭据及加密钱包访问权限。 Mach-O Man 恶意软件在 Lazarus Group 的加密货币行动中窃取 macOS Keychain 数据关键要点： - 朝鲜的 Lazarus Group 于 2026 年 4 月部署了 Mach-O Man 恶意软件，目标是加密货币和金融科技领域的 macOS 用户。 - Bitso 的 Quetzal Team 证实，该 Go 语言编译的工具包可通过四个阶段实现凭据窃取、Keychain 访问和数据外泄。 - 安全研究人员于 2026 年 4 月 22 日敦促各公司拦截基于 Terminal 的 ClickFix 诱饵，并审计伪装成 Onedrive 文件的 LaunchAgents。研究人员揭露针对美国加密货币和 Web3 公司的朝鲜 macOS 恶意软件 Bitso 的 Quetzal Team 的安全研究人员与 ANY.RUN 沙盒平台合作，在分析了他们命名为“North Korea’s Safari”的行动后，于 2026 年 4 月 21 日公开披露了该工具包。该团队将此工具包与 Lazarus 近期的大规模加密货币盗窃案联系起来，包括针对 KelpDAO 和 Drift 的攻击，并指出该组织一贯针对 Web3 和金融科技领域的高价值 macOS 用户。 Mach-O Man 使用 Go 编写并编译为 Mach-O 二进制文件，使其能够原生运行于 Intel 和 Apple Silicon 机器。该工具包分四个不同阶段运行，旨在收集浏览器凭据、macOS Keychain 条目和加密货币账户访问权限，随后删除自身痕迹。感染始于社会工程学，而非软件漏洞。攻击者入侵或冒充 Web3 和加密货币圈内同事的 Telegram 账户。目标会收到 Zoom、Microsoft Teams 或 Google Meet 的紧急会议邀请，链接指向极具欺骗性的虚假网站，例如 update-teams.live 或 livemicrosft.com。虚假网站会显示模拟的连接错误，并指示用户复制并粘贴 Terminal 命令以解决问题。这种被称为 Clickfix 的技术在此被适配用于 macOS，引导用户通过 curl 执行初始阶段文件 teamsSDK.bin。由于用户是手动运行该命令，macOS Gatekeeper 不会拦截它。该阶段文件会下载一个伪造的应用程序包，应用临时代码签名使其看起来合法，并提示用户输入 macOS 密码。窗口在前两次尝试时会晃动，并在第三次接受凭据，这是一种旨在建立虚假信任的刻意设计。此后，研究人员的报告及其他记录显示，一个分析器二进制文件会枚举机器的主机名、UUID、CPU、操作系统详细信息、运行进程，以及 Brave、Chrome、Firefox、Safari、Opera 和 Vivaldi 中的浏览器扩展。研究人员指出，该分析器包含一个会导致无限循环的编码错误，从而引发明显的 CPU 峰值，这可能会暴露活跃的感染。随后，一个持久化模块会将一个重命名为 Onedrive 的文件放入标记为“Antivirus Service”的文件夹下的隐藏路径中，并注册一个名为 com.onedrive.launcher.plist 的 Launchagent，以便在登录时自动运行。最后阶段是一个标记为 macrasv2 的窃取二进制文件，它会收集浏览器扩展数据、SQLite 凭据数据库和 Keychain 项目，将它们压缩成 zip 文件，并通过 Telegram Bot API 外泄该压缩包。研究人员在二进制文件中发现了暴露的 Telegram bot token，他们称这是重大的操作安全失误，可能允许防御者监控或干扰该通道。 Quetzal Team 发布了所有主要组件的 SHA-256 哈希值，以及指向 IP 地址 172.86.113.102 和 144.172.114.220 的网络指标。安全研究人员指出，已观察到 Lazarus 以外的组织也在使用该工具包，这表明该工具已在威胁行为者生态系统中共享或出售。 Lazarus（在威胁情报公司中也被追踪为 Famous Chollima）在过去几年中被认为与数十亿美元的加密货币盗窃案有关。该组织之前的 macOS 工具包括 Applejeus 和 Rustbucket。Mach-O Man 遵循相同的目标画像，同时降低了 macOS 入侵的技术门槛。 Volo Protocol 在 Sui 区块链漏洞利用中损失 350 万美元，拦截了 WBTC 桥接尝试 Volo Protocol 在 Sui 区块链漏洞利用中损失 350 万美元，拦截了 WBTC 桥接尝试

数据状态✓ 已抓取全文阅读原文（Bitcoin.com）

🔍历史类似事件· 关键词 + 标的比对6 则

2026-04-22

與 Lazarus 相關的 macOS 惡意軟體攻擊了加密貨幣和金融科技公司

相似度 230%關鍵字 macos/malware/crypto

2026-04-22

Lazarus Group 憑藉全新的 Mach-O Man 攻擊變得尤為危險：CertiK

相似度 230%關鍵字 group/mach/man

2026-04-22

蘋果 Mac 用戶小心！北韓駭客 Lazarus 祭出全新惡意軟體「Mach-O Man」：一個動作接管你的電腦

相似度 180%關鍵字 mach/man/lazarus

2026-04-21

Lazarus Group 在 Arbitrum 凍結 KelpDAO 漏洞利用中涉及的 71M USD 後，被懷疑轉移了 175M USD 的 ETH

相似度 130%關鍵字 group/lazarus

2026-04-21

數據顯示，KelpDAO 的駭客正在清洗數百萬被盜的加密貨幣。

相似度 130%關鍵字 data/crypto

2026-04-20

波兰最大的加密货币交易所倒闭，且无人能找到掌握私钥的人

相似度 130%關鍵字 crypto/man

💡 目前用关键词 + 标的比对（MVP）· 之后会升级为 embedding 语义搜寻

原始信息

ID：9a8da10988

来源：Bitcoin.com

发布：2026-04-22 13:20:43

分类：一般 · 导出分类 neutral

标的：未指定

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言