朝鲜 Lazarus 组织部署 Mach-O Man 恶意软件，从 macOS 用户窃取加密货币钱包凭证

4 月 22 日，据安全公司 ANY.RUN 于 4 月 21 日发布的一份恶意软件分析报告，朝鲜境内关联的黑客组织 Lazarus 已发起针对加密货币钱包的攻击，使用了一种新发现的恶意软件，名为 Mach-O Man。该恶意代码旨在从 macOS 系统中窃取钥匙串数据、浏览器凭证和登录会话，以获取对数字资产钱包和交易所账户的未授权访问。

与此前的 Lazarus 阵营行动不同，此次攻击专门针对苹果 macOS 用户。恶意软件会从受害者的 Mac 设备中收集登录会话和身份验证凭证，随后用于攻破钱包访问权限以及交易所账户凭证。主要目标包括数字资产公司的员工、开发者和高管。ANY.RUN 警告称，攻破单个账户可能同时暴露钱包访问权限以及内部企业系统，从而导致大规模资产被盗。

该恶意软件通过 ClickFix 分发，这是一种社交工程技术，使用伪造的错误消息和弹窗诱骗用户复制并执行恶意命令。攻击主要通过 Telegram 进行，借助被攻破的个人账号实施，并将受害者引导至类似 Zoom、Microsoft Teams 或 Google Meet 的伪造会议链接。随后，会提示用户以“解决连接问题”为由执行命令。这种由用户发起的执行方式能够轻易绕过传统安全系统。

此次披露发生在 4 月 20 日 Kelp DAO 被黑之后，该事件导致 116,500 rsETH (restaked Ethereum) 被盗。LayerZero 指出，TraderTraitor（一家与 Lazarus 有关联的组织）对该攻击负责。rsETH 分布在多条区块链上，跨链转移由 LayerZero 的 omnichain fungible token (OFT) 标准处理。