• 北朝鲜的Lazarus集团在2026年4月部署了Mach-O Man恶意软件，针对macOS用户，主要为加密货币和金融科技角色。
• Bitso的Quetzal团队确认，Go编译的工具包能够实现凭据窃取、钥匙串访问和通过四个阶段的数据外流。
• 安全研究人员在2026年4月22日敦促公司阻止基于终端的ClickFix诱饵，并审核伪装为Onedrive的LaunchAgents文件。

Bitso的Quetzal团队的安全研究人员与ANY.RUN沙盒平台合作，在2026年4月21日公开披露了该工具包，分析了他们命名为“北朝鲜的Safari”的攻击活动。该团队将该工具包与Lazarus最近的大规模加密窃盗事件联系在一起，包括对KelpDAO和Drift的攻击，指出该团体持续针对Web3和金融科技领域的高价值macOS用户。

Mach-O Man使用Go编写并编译为Mach-O二进制文件，使其在Intel和Apple Silicon机器上均可原生运行。该工具包运行四个不同的阶段，旨在收集浏览器凭据、macOS钥匙串条目和加密帐户访问权限，然后删除自身的痕迹。

感染始于社会工程，而不是软件利用。攻击者妥协或冒充Web3和加密货币圈内同事的Telegram账户。目标接收到一个紧急的Zoom、Microsoft Teams或Google Meet会议邀请，其中链接指向一个令人信服的假网站，如update-teams.live或livemicrosft.com。

该假网站显示模拟的连接错误，并指示用户复制并粘贴一个终端命令以解决问题。该技术称为Clickfix，这里针对macOS进行了改编，使用户执行初始阶段文件teamsSDK.bin，通过curl下载。由于用户手动运行该命令，macOS Gatekeeper不会阻止它。

该初始阶段下载一个假应用程序包，应用临时代码签名以使其看起来合法，并提示用户输入macOS密码。窗口在前两次尝试时会抖动，第三次接受凭据，这是一个故意设计的选择，以建立虚假的信任。

随后，研究人员的报告和其他账户称，配置文件二进制文件枚举机器的主机名、UUID、CPU、操作系统详情、运行的进程，以及在Brave、Chrome、Firefox、Safari、Opera和Vivaldi上的浏览器扩展。研究人员注意到，配置文件包含一个编码错误，导致无限循环，造成明显的CPU峰值，可能会暴露活跃的感染。

持久性模块然后在标记为“防病毒服务”的文件夹下的隐藏路径中投放一个重命名的文件，名为Onedrive，并注册一个名为com.onedrive.launcher.plist的Launchagent，以便在登录时自动运行。

最后阶段，一个标记为macrasv2的窃取二进制文件，收集浏览器扩展数据、SQLite凭据数据库和钥匙串项目，将它们压缩为一个zip文件，并通过Telegram Bot API进行数据外流。研究人员发现Telegram机器人令牌在二进制文件中暴露，称这是一个重大的操作安全失败，可能允许防御者监视或破坏该频道。

Quetzal团队发布了所有主要组件的SHA-256哈希，以及指向IP地址172.86.113.102和144.172.114.220的网络指标。安全研究人员指出，该工具包已被观察到被Lazarus以外的团体使用，暗示该工具已在威胁行为者生态系统内共享或出售。

Lazarus（也被威胁情报公司跟踪为Famous Chollima）被归因于过去几年中数十亿美元的加密货币盗窃。该团体之前的macOS工具包括Applejeus和Rustbucket。Mach-O Man遵循相同的目标配置，同时降低macOS被攻陷的技术障碍。

建议加密货币和金融科技公司的安全团队审核Launchagents目录，监控从异常文件路径运行的Onedrive进程，并在不必要的情况下阻止外发的Telegram Bot API流量。用户绝不要粘贴从网页或未经请求的会议链接中复制的终端命令。

在Apple主导的加密环境中运行macOS系统的组织应将任何紧急的、未经请求的会议链接视为潜在的入侵点，直到通过其他通信渠道进行验证。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。