朝鲜拉撒路集团部署 Mach-O Man 恶意软件，窃取来自 macOS 用户的加密钱包凭据

Gate News 消息，4 月 22 日——据安全公司 ANY.RUN 于 4 月 21 日发布的恶意软件分析报告称，与朝鲜相关的黑客组织拉撒路已启动针对加密货币钱包的攻击，所使用的恶意软件为近期发现的 Mach-O Man。该恶意代码旨在从 macOS 系统中窃取钥匙串数据、浏览器凭据和登录会话，以获取对数字资产钱包和交易所账户的未授权访问。

与此前的拉撒路行动不同，此次攻击专门针对苹果 macOS 用户。恶意软件会从受害者的 Mac 设备中收集登录会话和身份验证凭据，然后用于破坏钱包访问权限以及交易所账户凭据。主要目标包括数字资产公司的员工、开发者和高管。ANY.RUN 警告称，若攻陷单个账户，可能同时暴露钱包访问权限和内部企业系统，从而导致大规模资产盗窃。

该恶意软件通过 ClickFix 进行分发，这是一种社会工程技术，使用虚假的错误信息和弹窗诱骗用户复制并执行恶意命令。攻击主要通过使用被攻陷的个人账号的 Telegram 来实施，受害者被引导至类似 Zoom、Microsoft Teams 或 Google Meet 的虚假会议链接。随后，用户会在“解决连接问题”的幌子下被提示执行命令。这种由用户主动发起的执行方式，能够轻松绕过传统安全系统。

披露发生在 4 月 20 日的 Kelp DAO 被黑事件之后，该事件导致盗走 116,500 rsETH (restaked Ethereum)。LayerZero 确认与拉撒路有关联的组织 TraderTraitor 负责此次攻击。rsETH 分布在多条区块链上，跨链转账由 LayerZero 的全链可替代代币 (OFT) 标准处理。