拉扎勒斯“Mach-O Man”macOS恶意软件：伪造Telegram紧急会议诱导窃取加密凭证

据网络安全机构 CertiK 称，朝鲜“拉扎勒斯集团”（Lazarus Group）正在部署名为“Mach-O Man”的 macOS 恶意软件，用社工手段攻击加密与金融科技高管。攻击从 Telegram 发送“紧急”会议邀请开始，冒充 Zoom、Microsoft Teams 或 Google Meet；随后引导受害者进入假网站，采用 ClickFix 技术——要求用户在终端中粘贴一条命令来“修复”看似存在的连接问题。 在执行后，“Mach-O Man”工具包会安装由 Mach-O 构建的模块化组件，用于设备画像、建立持久化，并窃取凭证与浏览器数据。数据外传通过基于 Telegram 的指挥控制（C2）通道完成。更具破坏性的点在于其执行后自动删除行为，使得事件响应与取证更困难。 CertiK 表示，该活动与 Lazarus 的 Famous Chollima 单元有关，并通过被攻陷的 Telegram 账号面向高价值数字资产机构投放。报告还将 Mach-O Man 与更大规模的盗窃行动关联：过去两周内，拉扎勒斯从 DeFi 平台 Drift 和 KelpDAO 盗走超过 5 亿美元。 对交易者而言，重点是风控：将任何异常会议请求——尤其是要求执行终端命令的内容——视为“Mach-O Man”这类高风险社工攻击，并务必通过独立渠道核实后再点击链接或执行指令。