北韩关联黑客组织Lazarus集团发动新型macOS恶意软件攻击 瞄准加密货币及企业高管
2026年4月22日,安全研究人员披露,与北韩关联的黑客组织Lazarus集团正在利用名为“Mach-O Man”的新型macOS恶意软件工具包,针对加密货币公司及传统企业高管实施攻击。该工具包通过“ClickFix”社交工程策略传播,诱使受害者参与虚假的Zoom或Google Meet会议,并在会议中执行指令,从而在后台静默下载恶意软件。
攻击者借此绕过传统安全防护,获得用户凭证及企业系统访问权限。该恶意软件最终阶段为数据窃取模块,可提取浏览器扩展数据、存储的登录凭证、Cookies、macOS Keychain条目及其他敏感信息。窃取的数据被压缩为ZIP文件,并通过Telegram发送至攻击者控制的服务器。随后,恶意软件自动执行自删除指令,使用系统rm命令清除自身文件,绕过用户确认和权限限制。
该恶意软件由安全专家Mauro Eldritch通过云沙箱平台Any.run的macOS分析功能重建。此前,Lazarus集团已被指为2025年Bybit交易所14亿美元盗窃案的主谋,是加密行业历史上最大规模的黑客攻击之一。2026年4月早些时候,该组织还曾利用AI增强的社交工程手段,窃取加密钱包Zerion约10万美元资产,通过获取团队成员的登录会话、凭证及私钥完成攻击。
此次攻击显示,Lazarus集团正持续扩大目标范围,从加密原生企业扩展至传统商业领域,反映出其网络攻击策略的演变与技术升级。相关威胁情报已由BCA Ltd.发布,多家企业被建议加强员工安全意识培训,并强化远程会议及终端设备的安全管理。
编辑点评
此次Lazarus集团针对macOS系统的新型恶意软件攻击,标志着北韩网络作战能力的进一步升级。其采用AI驱动的社交工程手段,结合隐蔽的数据窃取与自动清除机制,显着提高了攻击的渗透率与隐蔽性。攻击目标从加密货币公司扩展至传统企业高管,反映出北韩黑客组织正试图通过多元化手段获取更广泛的经济利益与战略情报。从国际安全角度看,此类攻击不仅威胁金融系统稳定,更可能影响跨国企业的供应链与数据安全。美国、日本、韩国及欧洲多国已加强网络防御协同,欧盟近期发布的《网络韧性法案》也要求关键基础设施加强漏洞管理。未来,各国需加强跨部门情报共享,并推动对AI滥用的监管框架,以应对此类高度定制化的网络威胁。