Ekspert ds. cyberbezpieczeństwa Mauro Eldritch powiedział, że Grupa Lazarus znalazła nowy sposób infiltracji systemów ofiar za pomocą zwykłych połączeń służbowych.
🇰🇵 #Lazarus powraca z nowym zestawem narzędzi do usuwania złośliwego oprogramowania dla systemu macOS.
👷 Składa się z wielu plików binarnych Mach-O i nazwaliśmy go „Mach-O Man”. Jest on rozpowszechniany za pośrednictwem #ClickFix w ekosystemie kryptowalut, aby wykradać sekrety.
▶️ Przeczytaj cały mój artykuł poniżej. #DPRK #Malware https://t.co/9yDesUCeMD pic.twitter.com/XD5w4kn0gh
— Mauro Eldritch 🏴☠️ (@MauroEldritch) 21 kwietnia 2026 r.
Północnokoreańscy hakerzy rozpoczęli kampanię wykorzystującą modułowy system macOS Mach-O Man, stworzony przez inną północnokoreańską grupę hakerską, Famous Chollima.
Narzędzia te to natywne pliki binarne Mach-O dostosowane do ekosystemu Apple, w którym działa wiele firm z branży kryptowalut i technologii finansowych.
Mach-O Man korzysta z metody ClickFix, techniki socjotechnicznej, w której ofiara zostaje poproszona o wklejenie polecenia do terminala w celu „naprawienia problemu z połączeniem”.
Eldritch wyjaśnił, że hakerzy wysyłają użytkownikom „pilne” zaproszenia na spotkania na platformach Zoom, Microsoft Teams lub Google Meet za pośrednictwem Telegramu.
Przykład wiadomości od hakerów na Telegramie. Źródło: Any.run.
Link prowadzi do strony phishingowej, która instruuje ofiarę, jak skopiować i wkleić proste polecenie do terminala Mac. W ten sposób ofiara uzyskuje bezpośredni dostęp do systemów korporacyjnych, platform SaaS i zasobów finansowych.
Najczęściej ludzie dowiadują się o naruszeniu zbyt późno, gdy nie da się już zapobiec szkodzie.
Badacz Władimir S. zauważył, że istnieje kilka odmian ataku opisanego przez Eldritcha.
Widziałem też kiedyś nieco inną wersję ataku, w której atakujący przejęli domenę projektu DeFi i zastąpili stronę fałszywą wiadomością od Cloudflare, prosząc użytkowników o podanie komendy w celu udzielenia dostępu. Wiele osób dało się na to nabrać.
Widziałem też atak w…
— Notatki oficera Vladimira S (@officer_secret) 21 kwietnia 2026 r.
Udokumentowano przypadki, w których hakerzy Lazarus przejmowali domeny projektów DeFi, wykorzystując nowy arsenał i zastępując swoje strony fałszywą wiadomością od Cloudflare, w której proszono o polecenie udzielenia dostępu.
„To, co czyni Lazarus szczególnie niebezpiecznym w tej chwili, to skala ich aktywności. Kelp, Drift, a teraz arsenał nowego systemu macOS, wszystko w ciągu miesiąca. To nie są przypadkowe ataki hakerskie, ale państwowa operacja finansowa działająca na skalę i w tempie instytucji” – powiedziała Natalie Newson, starsza badaczka ds. bezpieczeństwa blockchain w CertiK.
Przypomnijmy, że w kwietniu pracownik fundacji Ethereum znalazł 100 północnokoreańskich agentów IT w firmach Web3.
Wcześniej sieć specjalistów z Korei Północnej zajmujących się branżą kryptowalut została również odkryta przez detektywa łańcuchowego ZachXBT.