安全研究人员将近期出现的一款macOS恶意软件活动与 Lazarus 集团联系起来,该组织是与朝鲜有关联的黑客团队,曾造成加密领域一些最重大的损失。这款被研究人员追踪命名为 Mach-O 的恶意软件工具包,通过针对包括加密公司在内的各类企业的 ClickFix 社会工程框架进行传播。
据威胁情报机构 BCA Ltd. 创始人、进攻性安全专家 Mauro Eldritch 称,Mach-O 活动利用极具欺骗性的通话引诱受害者执行指令,从而在后台悄无声息地下载恶意软件。这种策略使攻击者能够绕过传统的安全控制,潜入凭证系统和更广泛的企业环境。这一模式在一份周二发布的报告中得到记载,该报告引用了 Any.run 的 macOS 分析沙箱作为主要信息来源。
该行动的最终阶段是一个窃取程序有效载荷,旨在获取各种敏感数据,包括浏览器扩展数据、存储的凭证、Cookie 以及 macOS 钥匙串条目。一旦收集完成,信息会被压缩并通过 Telegram 外传。此后,工具包会执行自删除程序,使用系统 rm 命令清除痕迹,且无需用户确认。
Mach-O 的出现与 Lazarus 集团不断演变的攻击目标叙事相吻合,其目标已超越纯粹的加密原生事件,突显了对企业网络和供应链的风险。该组织长期以来与行业一些最大规模的盗窃案有关联,包括 2025 年对 Bybit 交易所造成 14 亿美元损失的攻击,这被认为是迄今为止该时代最大的加密货币漏洞事件。
研究人员强调,近几个月来 Lazarus 集团持续扩大其工具库和攻击面。今年四月,该组织被指利用人工智能辅助的社会工程活动入侵了 Zerion,获取了团队成员的会话、凭证和私钥。Zerion 事件说明了攻击者如何将社会工程与凭证盗窃相结合,以接触特权账户和敏感资产。
关键要点
被研究人员归因于 Lazarus 集团的 macOS 恶意软件工具包 Mach-O,通过针对传统企业和加密公司的 ClickFix 社会工程活动传播。
最终有效载荷作为窃取程序,提取浏览器数据、凭证、Cookie 和 macOS 钥匙串条目,数据经压缩后通过 Telegram 外传,随后工具包使用 rm 命令自毁以清除痕迹。
受害者被诱骗加入伪造的 Zoom 或 Google Meet 通话,并被诱导运行触发恶意软件安装和更深层次访问的指令,从而绕过典型的端点防护。
Lazarus 集团的操作持续扩大其目标范围,不再局限于加密原生公司,这与行业观察到的该组织不断扩大的攻击手法和基础设施访问趋势一致。
相关的背景案例包括 2025 年的 Bybit 攻击和四月的 Zerion 漏洞事件,揭示了一种结合网络钓鱼、社会工程和凭证盗窃的高风险入侵模式。
Mach-O:攻击流程剖析
Mach-O 活动的核心是一个分阶段的社会工程流程,围绕极具说服力的流行虚拟会议平台日历邀请展开。受害者会收到看似合法的会议通知提示,诱使他们加入所谓的“Zoom”或“Google Meet”会话。在看似常规设置的幌子下,受害者被引导执行指令,从而在后台静默下载并安装 Mach-O 组件。这种隐蔽的传播方式帮助攻击者规避了许多传统控制措施,使得凭证窃取在有限的用户阻力下进行。
一旦窃取程序部署成功,该工具包便会瞄准对攻击者有高价值的数据。它会窃取浏览器扩展数据、存储的凭证、Cookie 和钥匙串条目,以及其他本地存储的敏感信息。提取的材料被打包成 zip 存档,并通过 Telegram 发送给操作者,选择该渠道是因为其速度快且相对能抵抗标准的执法行动。数据外传后,恶意软件会执行自删除程序,使用 rm 命令从主机中移除整个工具包,从而有效留下最少的痕迹,增加了事件后取证的复杂性。
背景及其对加密安全格局的影响
Lazarus 集团涉嫌参与 Mach-O 活动,延续了其复杂、长期活动的记录模式,加剧了加密公司及其生态系统的风险状况。该集团已成为交易所、钱包提供商和项目团队挥之不去的难题,其过往行动展示了超越传统目标、适应不断演变的防御态势的能力。
2025年 Bybit 遭受的令人震惊的 14 亿美元损失,是衡量 Lazarus 驱动入侵规模的基准,不仅凸显了面临风险的资金规模,也揭示了其对流动性、做市和用户信任可能产生的连锁效应。与此同时,四月的 Zerion 事件展示了人工智能增强的社会工程如何通过利用合法的团队工作流程和授权会话来加速凭证和私钥盗窃。社会工程与凭证访问的结合,对于防御者而言仍然是最具挑战性的攻击向量之一,尤其是在 macOS 环境中,威胁行为者此前已发现应用程序控制和用户警惕性方面的漏洞。
与 Lazarus 相关活动的报道持续在行业中出现。
防御经验与未来关注点
Mach-O 事件强化了对特定于 macOS 的防御态势的需求,这种态势应结合用户教育、应用程序控制策略以及对端点行为的稳健监测。关键缓解措施包括:强制执行最小权限原则、部署应用程序白名单、监控源自受信任应用的异常下载执行序列,以及加强端点检测以捕获与分阶段感染链相关的命令与控制行为。鉴于数据外传路径利用了 Telegram,安全团队应审查有关非常用数据传输渠道的出站情报,并考虑实施网络层限制,以阻碍敏感信息的快速外泄。
对于从业者而言,结论很明确:即使针对加密领域的特定威胁仍然突出,攻击者正在扩大其目标范围,将传统企业和跨行业网络纳入其中。Lazarus 攻击范围的扩大,增加了交易所、托管机构和基础设施提供商的潜在攻击面,这强化了进行全面、跨平台威胁情报整合以及制定能够适应新恶意软件工具包出现的快速响应预案的必要性。
Any.run 的分析为理解 Mach-O 工具包的行为和演变提供了技术背景。
随着行业消化这些动态,观察者将关注防御者如何适应以 macOS 为重点的攻击活动,以及 Mach-O 是否会演变出具有增强逃避技术或更激进数据收集能力的新变种。社会工程、凭证盗窃和自动化自删除的结合标志着一个令人担忧的趋势,这要求重新强调用户教育、安全的访问控制和警惕的事件响应策略。
读者应密切关注关于 Lazarus 集团跨平台战术的任何更新,尤其是在安全团队追踪该组织工具、命令通道和首选数据外传方法可能发生转变之际。未来几周可能会揭示 Mach-O 是独立的威胁高峰,还是加密生态系统面临的威胁格局更广泛、持续转变的一部分。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注