朝鲜拉撒路组织部署 Mach-O Man 恶意软件，从 macOS 用户窃取加密钱包凭据

Gate News 通讯，4 月 22 日——根据安全公司 ANY.RUN 于 4 月 21 日发布的一份恶意软件分析报告，隶属朝鲜的黑客组织 Lazarus 已启动针对加密货币钱包的攻击，使用一种新发现的恶意软件 Mach-O Man。该恶意代码旨在从 macOS 系统窃取钥匙串数据、浏览器凭据和登录会话，以获取对数字资产钱包和交易所账户的未授权访问。

与此前的 Lazarus 攻击活动不同，此次攻击专门针对苹果 macOS 用户。恶意软件会从受害者的 Mac 设备收集登录会话和身份验证凭据，然后用于入侵钱包访问权限和交易所账户凭据。主要目标包括数字资产公司的员工、开发者以及高管。ANY.RUN 警告称，入侵单个账户可能同时暴露钱包访问权限和内部企业系统，从而可能导致大规模资产盗窃。

该恶意软件通过 ClickFix 进行分发，这是一种社会工程技术，利用虚假的错误信息和弹窗诱骗用户复制并执行恶意命令。攻击主要通过被入侵的个人账户在 Telegram 上实施；受害者会被引导至类似 Zoom、Microsoft Teams 或 Google Meet 的虚假会议链接。随后，用户会被提示在“解决连接问题”的幌子下执行命令。这种由用户自行发起的执行方式，能够轻易绕过传统安全系统。

披露发生在 4 月 20 日 Kelp DAO 被黑之后；该事件导致 116,500 rsETH (restaked Ethereum) 被盗。LayerZero 将 TraderTraitor（一个与 Lazarus 有关联的组织）认定为此次攻击的责任方。rsETH 分布在多条区块链上，跨链转移由 LayerZero 的全链可替代代币标准 (OFT) 处理。