拉撒路小组在窃取 5 亿美元后部署新型 Mac 恶意软件

来自朝鲜政府支持的黑客组织“拉撒路小组”（Lazarus Group）正在部署一种名为“Mach-O Man”的新型 macOS 多阶段恶意软件，目标直指加密和金融科技行业的高管。这项活动于 2026 年 4 月中旬被发现，目前已证实该组织与仅在上个月发生的超过 5 亿美元加密货币窃案有关。

“拉撒路小组目前尤其危险的原因在于他们的活跃程度，”CertiK 高级区块链安全研究员纳塔莉·纽森（Natalie Newson）向 CoinDesk 表示，“这并非随机攻击，而是一场由国家主导的金融行动，其规模和速度与正规金融机构无异。”

此类攻击采用了被称为“ClickFix”的社交工程技术，通过 Telegram 诱导受害者参加虚假的 Zoom 或 Google Meet 会议。随后，一个伪造的错误信息会提示用户将一段命令粘贴到其 Mac 的终端中，从而安装恶意软件并绕过系统的原生安全控制。最终的有效负载 Macrasv2 会通过 Telegram 机器人窃取浏览器数据、Cookie 以及敏感的 macOS 钥匙串（Keychain）条目。

此项活动显著增加了加密项目的运营安全风险。一旦开发人员或高管的凭证遭到泄露，可能会导致灾难性的损失，正如近期 KelpDAO 遭到的 2.92 亿美元攻击和 Drift 遭到的 2.85 亿美元利用所展示的那样。该恶意软件的模块化特性以及其他网络犯罪组织的使用情况表明，其威胁可能会进一步扩大，迫使公司必须防范源自员工自身信任行为的攻击。

“Mach-O Man”攻击如何绕过 macOS 安全防护

Mach-O Man 活动的主要创新在于利用社交工程来规避苹果公司内置的安全功能。攻击始于目标在 Telegram 等平台上收到看似来自可信同事的紧急会议邀请，邀请其加入 Zoom、Microsoft Teams 或 Google Meet 呼叫。

链接会指向一个仿真且具有迷惑性的虚假网页，模拟连接问题。为了“解决”问题，网站会指示用户复制一行代码并将其粘贴到 Mac 的终端应用程序中。由于命令是由用户亲自发起的，因此 macOS 的 Gatekeeper 等通常会阻止未验证应用程序的安全功能会被成功绕过。

执行后，该命令会下载一个名为 teamsSDK.bin 的初始二进制文件。随后，恶意软件会下载一个虚假的应用包，并反复使用翻译欠佳但看起来十分真实的系统提示框向受害者索要密码，以确保获得其所需的权限。

会自我销毁的窃贼几乎不留痕迹

该恶意软件分四个不同阶段运行。初始感染后，一个分析器模块会收集系统信息（包括主机名、CPU 详细信息和网络配置），并在攻击者的命令与控制（C2）服务器上注册受害者。

接着，一个名为 minst2.bin 的持久化模块会确保恶意软件在重启后依然存在。它会植入一个名为 com.onedrive.launcher.plist 的 LaunchAgent 属性列表文件，通过伪装成合法的“OneDrive”或“防病毒服务”进程，在每次登录时重新启动恶意软件。

最后阶段是窃取程序本身，即名为 Macrasv2 的有效负载。该组件旨在从 Chrome、Firefox、Safari、Brave 等浏览器的扩展程序中提取数据。其目标是存储的凭证、SQLite 数据库中的 Cookie 以及 macOS 钥匙串中的敏感条目。数据收集完成后会进行压缩，并通过 Telegram 机器人 API 移出，随后恶意软件会删除系统中大部分自身痕迹。

黑客也被黑

在一次引人注目的转折中，攻击者自身的运营安全被证明存在缺陷。威胁情报公司 BCA Ltd. 的创始人毛罗·埃尔德里奇（Mauro Eldritch）在拉撒路小组的 C2 基础设施中发现了两个关键漏洞。

根据埃尔德里奇的报告，恶意软件的代码暴露了用于数据外传的 Telegram 机器人的 API 令牌。这一密钥使研究人员能够识别机器人的所有者，并通过垃圾信息干扰其频道。此外，C2 服务器存在允许无限制文件上传的缺陷，研究人员得以向攻击者的基础设施大量发送垃圾数据，有效导致其服务中断。虽然这给黑客带来了暂时的挫折，但 Mach-O Man 恶意软件工具包仍然是一个活跃且不断演变的威胁。

本文仅供参考，不构成投资建议。