拉撒路小組在竊取 5 億美元後部署新型 Mac 惡意軟體

來自朝鮮政府支持的駭客組織「拉撒路小組」（Lazarus Group）正在部署一種名為「Mach-O Man」的新型 macOS 多階段惡意軟體，目標直指加密和金融科技行業的高管。這項活動於 2026 年 4 月中旬被發現，目前已證實該組織與僅在上個月發生的超過 5 億美元加密貨幣竊案有關。

「拉撒路小組目前尤其危險的原因在於他們的活躍程度，」CertiK 高級區塊鏈安全研究員納塔莉·紐森（Natalie Newson）向 CoinDesk 表示，「這並非隨機攻擊，而是一場由國家主導的金融行動，其規模和速度與正規金融機構無異。」

此類攻擊採用了被稱為「ClickFix」的社交工程技術，透過 Telegram 誘導受害者參加虛假的 Zoom 或 Google Meet 會議。隨後，一個偽造的錯誤訊息會提示用戶將一段命令貼上到其 Mac 的終端機中，從而安裝惡意軟體並繞過系統的原生安全控制。最終的有效負載 Macrasv2 會透過 Telegram 機器人竊取瀏覽器數據、Cookie 以及敏感的 macOS 鑰匙圈（Keychain）條目。

此項活動顯著增加了加密項目的營運安全風險。一旦開發人員或高管的憑證遭到洩漏，可能會導致災難性的損失，正如近期 KelpDAO 遭到的 2.92 億美元攻擊和 Drift 遭到的 2.85 億美元利用所展示的那樣。該惡意軟體的模組化特性以及其他網路犯罪組織的使用情況表明，其威脅可能會進一步擴大，迫使公司必須防範源自員工自身信任行為的攻擊。

「Mach-O Man」攻擊如何繞過 macOS 安全防護

Mach-O Man 活動的主要創新在於利用社交工程來規避蘋果公司內置的安全功能。攻擊始於目標在 Telegram 等平台上收到看似來自可信同事的緊急會議邀請，邀請其加入 Zoom、Microsoft Teams 或 Google Meet 呼叫。

連結會指向一個仿真且具有迷惑性的虛假網頁，模擬連接問題。為了「解決」問題，網站會指示用戶複製一行代碼並將其貼上到 Mac 的終端機應用程式中。由於命令是由用戶親自發起的，因此 macOS 的 Gatekeeper 等通常會阻止未驗證應用程式的安全功能會被成功繞過。

執行後，該命令會下載一個名為 teamsSDK.bin 的初始二進位文件。隨後，惡意軟體會下載一個虛假的應用包，並反覆使用翻譯欠佳但看起來十分真實的系統提示框向受害者索要密碼，以確保獲得其所需的權限。

會自我銷毀的竊賊幾乎不留痕跡

該惡意軟體分四個不同階段運行。初始感染後，一個分析器模組會收集系統資訊（包括主機名稱、CPU 詳細資訊和網路配置），並在攻擊者的命令與控制（C2）伺服器上註冊受害者。

接著，一個名為 minst2.bin 的持久化模組會確保惡意軟體在重啟後依然存在。它會植入一個名為 com.onedrive.launcher.plist 的 LaunchAgent 屬性列表文件，透過偽裝成合法的「OneDrive」或「防病毒服務」程序，在每次登入時重新啟動惡意軟體。

最後階段是竊取程式本身，即名為 Macrasv2 的有效負載。該組件旨在從 Chrome、Firefox, Safari, Brave 等瀏覽器的擴充功能中提取數據。其目標是存儲的憑證、SQLite 數據庫中的 Cookie 以及 macOS 鑰匙圈中的敏感條目。數據收集完成後會進行壓縮，並透過 Telegram 機器人 API 移出，隨後惡意軟體會刪除系統中大部分自身痕跡。

駭客也被黑

在一次引人注目的轉折中，攻擊者自身的營運安全被證明存在缺陷。威脅情報公司 BCA Ltd. 的創始人毛羅·埃爾德里奇（Mauro Eldritch）在拉撒路小組的 C2 基礎設施中發現了兩個關鍵漏洞。

根據埃爾德里奇的報告，惡意軟體的代碼暴露了用於數據外傳的 Telegram 機器人的 API 令牌。這一金鑰使研究人員能夠識別機器人的所有者，並透過垃圾訊息干擾其頻道。此外，C2 伺服器存在允許無限制文件上傳的缺陷，研究人員得以向攻擊者的基礎設施大量發送垃圾數據，有效導致其服務中斷。雖然這給駭客帶來了暫時的挫折，但 Mach-O Man 惡意軟體工具包仍然是一個活躍且不斷演變的威脅。

本文僅供參考，不構成投資建議。