与朝鲜有关联的黑客组织Lazarus被发现疑似针对macOS环境发起新一轮恶意软件攻击。

区块链媒体Cointelegraph 4月22日（当地时间）报道，此次攻击目标不仅包括加密货币企业，也波及一般企业和金融科技公司。攻击者将伪造视频会议邀请与社会工程学手法结合，用于诱导受害者上钩。

安全研究人员将这一新型恶意软件工具链命名为“Mach-O Man”。该工具链通过“ClickFix”式诱导页面传播，让受害者误以为自己正在加入伪造的Zoom或Google Meet会议，并进一步诱导其手动执行特定命令。

BCA创始人Mauro Eldritch在当天发布的报告中表示，这种手法可在后台下载恶意软件，从而在不易被察觉的情况下绕过传统防护和管控措施。

一旦攻击得手，黑客即可获取受害企业的登录凭据以及内部系统访问权限。研究团队认为，这类攻击可能引发账号被盗、基础设施遭未授权访问、资金损失以及核心数据泄露，也显示Lazarus的攻击范围正从加密货币行业进一步扩大至更广泛的企业领域。

在攻击的最后阶段，攻击者会投放信息窃取程序。该程序被设计用于收集浏览器扩展数据、浏览器已保存凭据、Cookie以及macOS钥匙串条目等敏感信息。收集到的数据会被压缩打包，并通过Telegram回传给攻击者。

研究人员还指出，这套工具链的清除痕迹环节也已实现自动化。恶意软件会调用系统rm命令删除整套工具包，并在删除过程中绕过通常所需的用户确认或权限步骤，显示攻击者不仅重视渗透和窃取，也将事后掩盖纳入了攻击流程。

这套恶意软件工具链是借助云端恶意软件沙盒Any.run的macOS分析功能完成还原的。研究人员据此确认了整个攻击流程以及数据回传路径。

Lazarus此前已多次被指与重大加密货币黑客事件有关。该组织也被认为是2025年Bybit黑客事件的主要嫌疑方之一。彼时损失规模统计为14亿美元，被视为迄今业内规模最大的黑客事件之一。

进入本月后，类似的社会工程学攻击仍在持续。Zerion表示，其部分团队成员的登录会话、凭据以及公司私钥访问权限遭窃，随后约10万美元资金被盗；据称此次攻击也使用了基于AI的社会工程学手法。

在这一背景下，这起案例表明，Mac办公环境已难再被视为相对安全的区域。随着“视频会议邀请+浏览器认证+即时通讯工具回传”这一组合式攻击链得到验证，加密货币企业和金融科技公司对终端安全与账号管理体系的排查需求正进一步上升。