Lazarus Group відкрила новий підхід до проникнення в системи мішеней за допомогою звичайних службових викликів. Про це заявив експерт із кібербезпеки Мауро Елдріч.
🇰🇵 #Lazarus is back with a new macOS malware kit.
👷 Made up of multiple Mach-O binaries, we named it “Mach-O Man”. It is being distributed via #ClickFix in the crypto ecosystem to steal secrets.
▶️ Read my full article for ANY RUN below.#DPRK #Malware https://t.co/9yDesUCeMD pic.twitter.com/XD5w4kn0gh
— Mauro Eldritch 🏴☠️ (@MauroEldritch) April 21, 2026
Зловмисники з Північної Кореї розпочали кампанію із впровадженням модульного macOS-інструментарію Mach-O Man. Його розробила інша північнокорейська хакерська група Famous Chollima.
Інструменти — це нативні двійкові файли Mach-O, пристосовані для екосистеми Apple, де функціонує велика кількість крипто- та фінтех-організацій.
Mach-O Man використовує метод доставки ClickFix — прийом соціальної інженерії, коли ціль просять ввести команду в термінал для «вирішення проблеми зі з’єднанням».
Елдріч пояснив, що хакери відправляють користувачам «термінове» запрошення на зустріч у Zoom, Microsoft Teams або Google Meet через Telegram.
Приклад повідомлення від хакерів у Telegram. Джерело: Any.run.
Посилання направляє на фішинговий сайт, який дає інструкції скопіювати та вставити просту команду в термінал Mac. Після виконання цього, ціль надає прямий доступ до корпоративних систем, SaaS-платформ і фінансових ресурсів.
Як правило, про злом дізнаються надто пізно, коли відвернути збитки вже неможливо.
Дослідник Vladimir S. зауважив, що існує декілька варіацій описаної Елдрічем атаки.
I also once seen a slightly different variation of the attack where the attackers hijacked the DeFi project’s domain and replaced the website with a fake message from Cloudflare asking users to enter a command to grant access. A lot of people fell for it.
I also saw an attack in…
— Vladimir S. | Officer’s Notes (@officer_secret) April 21, 2026
Зафіксовано випадки, коли хакери Lazarus перехоплювали домени DeFi-проєктів за допомогою нового арсеналу, замінюючи їхні сайти фальшивим повідомленням від Cloudflare з вимогою ввести команду для надання доступу.
«Що робить Lazarus особливо небезпечною зараз — це рівень їхньої діяльності. Kelp, Drift і тепер новий macOS-арсенал — усе протягом одного місяця. Це не поодинокі зломи, а державна фінансова операція, яка діє в масштабі та темпі, притаманних для інституцій», — відзначила старша дослідниця блокчейн-безпеки CertiK Наталі Ньюсон.
Нагадаємо, у квітні стипендіат Ethereum Foundation виявив 100 північнокорейських IT-агентів у Web3-компаніях.
Раніше мережу фахівців із КНДР у криптоіндустрії також виявив ончейн-детектив ZachXBT.