朝鲜黑客组织“拉撒路”借虚假会议邀请锁定加密货币高管_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

朝鲜黑客组织“拉撒路”借虚假会议邀请锁定加密货币高管

2026-04-23 05:21:53

< h3 >朝鲜 Lazarus 组织利用虚假会议邀请发起新型 macOS 恶意软件攻击< /h3 > < p >区块链安全公司 CertiK 披露，朝鲜 Lazarus 黑客组织近期发起了一项名为“Mach-O Man”的新型 macOS 恶意软件活动。该活动通过伪造在线会议邀请，诱骗加密货币和金融科技企业高管在其设备上执行恶意命令。< /p > < h4 >攻击手法概述< /h4 > < p >Lazarus 组织的“Mach-O Man”活动利用虚假会议邀请诱使企业高管在 Mac 终端中粘贴恶意命令。恶意软件执行后会立即自动删除，导致通过常规取证手段几乎无法察觉攻击痕迹。CertiK 指出，该组织在过去两周内已通过类似手法从 DeFi 平台 Drift 和 KelpDAO 盗取超过 5 亿美元资金。< /p > < h4 >精心设计的社交工程陷阱< /h4 > < p >据 CertiK 高级区块链安全研究员 Natalie Newson 介绍，该活动于 4 月 22 日被披露，是目前 Lazarus 组织最高效的社交工程手段之一。攻击者通过 Telegram 发送伪装成 Zoom、Microsoft Teams 或 Google Meet 的紧急会议邀请，链接会导向一个仿冒的会议页面，提示受害者将特定命令粘贴至 Mac 终端以“修复连接问题”。这种被 CertiK 称为“ClickFix”的技术，会引导受害者通过键盘快捷键执行恶意命令。< /p > < p >命令执行后，系统会安装针对苹果环境定制的模块化恶意软件套件。该套件能够收集主机信息、建立持久化访问机制，并通过 Telegram 命令控制渠道窃取凭据与浏览器数据。Newson 强调：“仿冒页面看起来非常逼真，操作指引也显得合乎常规，由于受害者是主动执行操作，传统安全防护措施往往难以识别。”< /p > < h4 >与传统钓鱼攻击的差异< /h4 > < p >与传统依赖紧急标识或可疑发件人的钓鱼攻击不同，“Mach-O Man”活动在攻击过程中完全模仿日常工作流程。加密货币和金融科技领域的高管经常收到投资者、研究人员及合作伙伴的会议邀请，这使得虚假邀请具有更高可信度。CertiK 分析指出，该框架与 Lazarus 旗下的“千里马”单元相关联，通过被劫持的 Telegram 账号针对数字资产领域的高价值机构进行精准投放。< /p > < p >大多数受害者直到恶意软件自我删除后都未能察觉异常。Newson 表示：“他们很可能尚未意识到遭受攻击，即便有所察觉，也难以确定具体感染变种。”< /p > < h4 > Lazarus 组织对加密领域的威胁规模< /h4 > < p >CertiK 将此次攻击与 Lazarus 组织更广泛的攻势相关联。该组织在 2017 年至今累计盗取约 67 亿美元资产，联合国此前评估认为朝鲜黑客已窃取数十亿美元数字资产以支持其武器计划。Newson 指出：“当前 Lazarus 组织的危险之处在于其活动强度，这并非随机攻击，而是具有国家背景、具备机构化规模与速度的金融掠夺行动。”< /p > < p >CertiK 建议加密货币从业者对所有未经请求的会议邀请保持警惕，在点击链接或下载附件前，应通过独立渠道对会议请求进行二次验证。目前该公司已向安全社区共享相关攻击指标，以协助行业提升检测与防御能力。< /p >

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文

朝鲜黑客组织“拉撒路”借虚假会议邀请锁定加密货币高管

更多新闻

我的自选