Mach-O Man: Lazarus Group Атакует Крипто-Руководителей на Mac

Северокорейская группировка Lazarus Group развернула новый набор вредоносного ПО для macOS под названием Mach-O Man, нацеленный на руководителей крипто- и финтех-компаний через поддельные приглашения на встречи в Zoom, рассылаемые через Telegram. Та же группа стоит за кражей 285 миллионов долларов у Drift Protocol 1 апреля и 292 миллионов у KelpDAO 18 апреля — более 575 миллионов долларов похищено всего за 18 дней, а Mach-O Man становится третьим вектором атаки.

Как Работает Mach-O Man?

Кратко: Mach-O Man — набор вредоносного ПО для macOS от Lazarus Group, который заставляет жертву выполнить команду в Терминале во время поддельного звонка Zoom, после чего собирает учётные данные, данные Keychain и сессии браузеров, затем самоудаляется.

Кампания была выявлена 21 апреля 2026 года командой безопасности Quetzal компании Bitso совместно с платформой анализа угроз ANY.RUN. Вредонос построен на нативных бинарниках Mach-O — родном исполняемом формате Apple — что делает его невидимым для большинства традиционных средств защиты.

Цепочка атаки состоит из четырёх этапов:

• Приманка: Срочное приглашение на встречу приходит через Telegram, нередко с взломанного аккаунта, — на звонок в Zoom, Teams или Google Meet
• ClickFix: Поддельная страница отображает ошибку подключения и предлагает жертве вставить команду в Терминал macOS для "решения проблемы"
• Stager: Команда запускает teamsSDK.bin, который скачивает поддельный пакет приложения с ad-hoc подписью для обхода Gatekeeper
• Эксфильтрация: Вредонос собирает учётные данные, данные Keychain и сессии браузеров Chrome, Safari, Firefox, Brave и Opera — затем самоуничтожается

Lazarus "Mach-O Man" Malware: What CISOs Need to Know

Learn how the Lazarus "Mach-O Man" campaign targets businesses, and how SOC leaders can reduce credential theft and data exposure risk.

ANY.RUN's Cybersecurity BlogMauro Eldritch

Связь с Взломами Drift и KelpDAO

CertiK подтвердил прямую связь между Mach-O Man и обоими крупными эксплойтами апреля. Сценарий идентичен: социальная инженерия как точка входа, а не технические уязвимости в смарт-контрактах. В случае Drift управление multisig было скомпрометировано через социальную инженерию. В случае KelpDAO инфраструктура RPC была взломана изнутри.

Натали Ньюсон, старший исследователь безопасности блокчейна в CertiK, высказалась прямо:

"Это не случайный взлом. Это государственная финансовая операция, работающая со скоростью и в масштабах институциональной структуры."

Ответственное подразделение — Famous Chollima, оперативный отдел Lazarus Group — несёт ответственность за 18 атак только в 2026 году согласно данным Elliptic. С 2017 года общая сумма похищенного достигает около 6,7 миллиарда долларов. По данным ООН, эти средства напрямую финансируют программу вооружений Ким Чен Ына. Русскоязычные пользователи крипто-сервисов в Европе и СНГ особенно уязвимы: многие используют Telegram как основной канал коммуникации, что делает их приоритальными целями для подобных атак.

Lazarus Group Just Released "Mach-O Man" – A Brand-New Native macOS Malware Kit Targeting Fintech, Crypto, and High-Value Executives

You get an "urgent" meeting invite over Telegram for a Zoom, Teams, or Google Meet call. The link leads to a convincing fake website that tells…

— Vladimir S. | Officer's Notes (@officer_secret) April 21, 2026

Как Защититься: Оперативный Чеклист для Пользователей Mac

Для всех, кто работает в крипто, финтех или Web3 на Mac, — контрмеры, рекомендованные исследователями Bitso и CertiK:

• Никогда не выполняйте команды в Терминале по указанию веб-страницы или ссылки, полученной в чате
• Проверяйте каждое приглашение на встречу через отдельный независимый канал (телефонный звонок, корпоративная почта)
• Проверьте папку LaunchAgents (~/Library/LaunchAgents) на наличие подозрительных процессов, имитирующих OneDrive или антивирусное ПО
• Заблокируйте индикаторы компрометации, опубликованные командой Quetzal Team: IP-адреса 172.86.113.102 и 144.172.114.220
• Используйте отдельный аппаратный кошелёк, никогда не подключённый к рабочему компьютеру
• Следите за разделом Hack на SpazioCrypto для получения обновлений в реальном времени

Что такое вредоносное ПО Mach-O Man?

Mach-O Man — набор вредоносного ПО для macOS, разработанный северокорейской группой Lazarus Group, который использует поддельные приглашения Zoom для того, чтобы заставить жертву выполнить вредоносную команду в Терминале, обеспечивая кражу учётных данных и перехват браузерных сессий.

Как Mach-O Man обходит защиту Gatekeeper на macOS?

Mach-O Man использует пакет приложения с ad-hoc подписью, доставляемый через поддельную загрузку, что обходит Gatekeeper, поскольку подпись выглядит локально действительной.

Связан ли Lazarus Group со взломами Drift и KelpDAO?

Да. CertiK атрибутировал как взлом Drift Protocol на 285 миллионов долларов 1 апреля 2026 года, так и эксплойт KelpDAO на 292 миллиона долларов 18 апреля 2026 года оперативному подразделению Famous Chollima группы Lazarus Group.

Главное, что нужно понять: Lazarus Group не нуждается во взломе ваших смарт-контрактов. Группировке достаточно, чтобы вы открыли Терминал на своём Mac и вставили команду, которая выглядит безобидно. Если вы основатель, технический директор, трейдер со значительными средствами или контрибьютор DeFi — вы уже в прицеле. И как выразилась Ньюсон — вы, вероятно, ещё не знаете об этом. Проверьте свои процедуры работы со встречами прямо сейчас, не дожидаясь следующего похищения на сотни миллионов долларов.