Nordkoreas Lazarus-grupp riktar in sig på kryptochefer med ny macOS-malware

Nordkoreas Lazarus-grupp och deras nya kampanj

Nordkoreas Lazarus-grupp använder ”Mach-O Man”-malware för macOS och falska mötesinbjudningar för att angripa kryptochefer och finansiera nio-siffriga DeFi-raider. Enligt blockchain-säkerhetsföretaget CertiK har Lazarus inlett en ny kampanj som riktar sig direkt mot chefer inom fintech och kryptovaluta.

Operationen ”Mach-O Man”

Operationen, som kallas ”Mach-O Man”, kombinerar social ingenjörskonst med terminalnivå-payloads för att stjäla kryptovaluta och känslig företagsdata, samtidigt som den lämnar nästan inga spår på disken. CertiK:s forskare rapporterar att kampanjen bygger på ClickFix-tekniken, där offer luras att klistra in vad som ser ut som ”reparations”- eller ”verifierings”-kommandon direkt i macOS Terminal under falska support- eller mötesflöden.

I detta fall används lockbeten i form av falska online-mötesinbjudningar som ”lurar offer att klistra in skadliga reparationskommandon i Mac-terminaler”, med en verktygslåda som automatiskt raderar sig själv efter användning för att försvåra forensisk analys, enligt CertiK:s analys.

Kopplingar till Chollima-enheten

Enligt hotintelligensföretaget SOC Prime är ”Mach-O Man”-ramverket kopplat till Lazarus berömda Chollima-enhet och distribueras genom komprometterade Telegram-konton och falska mötesinbjudningar som riktar sig mot högvärdiga kryptovaluta- och finansorganisationer. Verktygslådan inkluderar flera Mach-O-binarier som är utformade för att profilera värden, etablera beständighet och exfiltrera autentiseringsuppgifter samt webbläsardata via Telegram-baserad kommando- och kontroll.

Liknande kampanjer och konsekvenser

Google Clouds Mandiant har tidigare beskrivit liknande macOS-kampanjer som blandar ClickFix med AI-assisterade videodjupfakes, falska Zoom-samtal och kapade meddelandekonton för att pressa mål att utföra obfuskade kommandon.

”Kampanjen använde ett komprometterat Telegram-konto, ett falskt Zoom-möte och AI-assisterad bedrägeri för att lura offer att utföra terminalkommandon som ledde till en macOS-infektionskedja,”

skrev Mandiants forskare.

CertiK-forskaren Natalie Newson kopplade den senaste ”Mach-O Man”-vågen till en bredare Lazarus-push som har stulit mer än 500 miljoner dollar från DeFi-plattformarna Drift och KelpDAO på lite mer än två veckor. I dessa incidenter kombinerade Lazarus påstått social ingenjörskonst mot ett handelsföretag med en sofistikerad cross-chain-exploatering som gjorde det möjligt för angripare att prägla ungefär 116 500 rsETH och tömma cirka 292 miljoner dollar i värde.

Framtiden för kryptovalutaekosystemet

LayerZero, som tillhandahåller broinfrastrukturen som används av KelpDAO, har sagt att Nordkoreas Lazarus-grupp är den ”sannolika aktören” bakom rsETH-exploateringen och skyllde på en design med en enda felpunkt för verifieraren som möjliggjorde det förfalskade cross-chain-meddelandet.

”Lazarus har riktat in sig på kryptovalutaekosystemet i flera år och stulit ungefär 2 miljarder dollar i virtuella tillgångar under 2023 och 2024,”

rapporterade säkerhetsuttaget SecurityWeek och hänvisade till tidigare ClickFix-aktiverade kampanjer.

Med DeFi som redan lider av vad forskningsuttag har kallat sin värsta månad någonsin för hack, prissätter marknaderna nu effektivt in en annan exploatering på över 100 miljoner dollar i år, vilket understryker hur statligt kopplade angripare som Lazarus har blivit systemiska för kryptorisk.

Relaterade inlägg

Senaste från Blog

Regleringspress: MiCA-deadline, CLARITY Act och hårdare regler i Storbritannien och Japan

Kryptovalutaaktörers utmaningar i en förändrad regleringsmiljö MiCA:s deadline i juli 2026, den amerikanska CLARITY Act samt SEC–CFTC:s samförståndsavtal, tillsammans med de brittiska och japanska systemen som liknar FSMA, pressar kryptovalutaaktörer med tunna

DOJ inleder kompensation för offer av OneCoins $4 miljarder globala kryptobedrägeri

Inledning Det amerikanska justitiedepartementet (DOJ) har meddelat att de inleder en kompensationsprocess för offer av OneCoin-kryptobedrägeriet, med mer än 40 miljoner dollar i återvunna tillgångar nu tillgängliga för distribution. Om OneCoin-bedrägeriet Bedrägeriet,

FCA genomför razzior på åtta platser i London för att stoppa olaglig P2P-kryptohandel

FCA:s Razzior mot Oregistrerad Kryptovalutahandel Den brittiska tillsynsmyndigheten FCA (Financial Conduct Authority) har genomfört razzior på åtta platser i London med anledning av påstådd olaglig peer-to-peer (P2P) kryptovalutahandel. Dessa insatser är en

Onramp lanserar ny Bitcoin-finansplattform för inhemska tjänster

Onramp Finance: En Ny Plattform för Bitcoin Onramp, det Austin-baserade företaget för bitcoin-förvaring och rådgivning, lanserade den 21 april 2026 Onramp Finance, en enhetlig plattform som kombinerar kassahantering, bitcoin-mäklare över alla 50

Uzbekistan öppnar statligt stödd kryptovaluta-gruvdriftzon med skatteförmåner

Övervakad Kryptovaluta-Gruvdriftzon i Uzbekistan Uzbekistan har inrättat en övervakad kryptovaluta-gruvdriftzon i Karakalpakstan genom en presidentresolution som undertecknades den 17 april. Ramverket tillåter godkända gruvföretag att verka inom ett definierat område, sälja utvunna

UK Fintech Stratiphy Återställer Tillgången till Skattefria Crypto ETNs via IF ISAs

Ny väg för brittiska investerare Stratiphy har introducerat en ny väg för brittiska investerare att återfå skattefri exponering mot crypto ETNs efter nyligen genomförda regeländringar som begränsade tillgången. Enligt Financial Times erbjuder

Charles Hoskinson ifrågasätter Bitcoins strategi för post-kvant säkerhet

Bitcoins Strävan mot Post-Kvant Säkerhet Bitcoins strävan mot post-kvant säkerhet har mött kritik från Cardano-grundaren Charles Hoskinson, som ifrågasatte designvalet bakom den föreslagna skyddsmodellen. Hans kommentarer fokuserade på SPHINCS+, ett hash-baserat signatursystem

Cardano Wallet Problem – Bedrägerivarning – U.Today

Lace Web3-plånbok och phishing-varning Lace, Web3-plånboken som är specifikt utvecklad för Cardano-ekosystemet, har utfärdat en brådskande varning till sin community angående en phishing-bedrägeri som för närvarande riktar sig mot mobilanvändare. Enligt en

35% av europeiska investerare skulle byta bank för kryptotillgångar: undersökning

Kryptotjänster och Europeiska Investerare Europeiska investerare börjar alltmer överväga kryptotjänster när de väljer banker, trots att regulatoriska brister och låg medvetenhet fortfarande bromsar adoptionen. En undersökning från Börse Stuttgart Digital visade att

Brian Armstrong: Den bästa dokumentären om Satoshi hittills – U.Today

Stöd för Dokumentären om Satoshi Nakamoto Brian Armstrong, VD för den ledande amerikanska kryptovalutabörsen Coinbase, har uttryckt sitt stöd för en ny dokumentär om Satoshi Nakamoto och hävdar att den är den