Эксперты по кибербезопасности предупредили о новой волне атак хакеров из КНДР

В зоне риска — пользователи macOS

Lazarus Group нашла новый способ проникновения в системы жертв через обычные рабочие звонки. Об этом рассказал специалист по кибербезопасности Мауро Элдрич.

🇰🇵 #Lazarus is back with a new macOS malware kit.

👷 Made up of multiple Mach-O binaries, we named it “Mach-O Man”. It is being distributed via #ClickFix in the crypto ecosystem to steal secrets.

▶️ Read my full article for ANY RUN below.#DPRK #Malware https://t.co/9yDesUCeMD pic.twitter.com/XD5w4kn0gh

— Mauro Eldritch 🏴‍☠️ (@MauroEldritch) April 21, 2026

Злоумышленники из Северной Кореи запустили кампанию с использованием модульного macOS-арсенала Mach-O Man. Его создала другая северокорейская хакерская группировка Famous Chollima.

Эти инструменты представляют собой нативные Mach-O бинарные файлы, адаптированные для экосистемы Apple, в которой работают многие крипто- и финтех-компании.

Mach-O Man использует метод доставки ClickFix — технику социальной инженерии, когда жертву просят вставить команду в терминал для «исправления проблемы с подключением».

Элдрич пояснил, что хакеры отправляют пользователям «срочное» приглашение на встречу в Zoom, Microsoft Teams или Google Meet через Telegram.

Пример сообщения от хакеров в Telegram. Источник: Any.run.

Ссылка ведет на фишинговый сайт, который инструктирует скопировать и вставить простую команду в терминал Mac. Выполнив это, жертва предоставляет прямой доступ к корпоративным системам, SaaS-платформам и финансовым ресурсам.

Чаще всего о взломе становится известно поздно, когда предотвратить ущерб уже невозможно.

Исследователь Владимир С. отметил, что существует несколько вариаций описанной Элдричом атаки.

I also once seen a slightly different variation of the attack where the attackers hijacked the DeFi project’s domain and replaced the website with a fake message from Cloudflare asking users to enter a command to grant access. A lot of people fell for it.

I also saw an attack in…

— Vladimir S. | Officer’s Notes (@officer_secret) April 21, 2026

Зафиксированы случаи, когда хакеры Lazarus захватывали домены DeFi-проектов с помощью нового арсенала, заменяя их сайты поддельным сообщением от Cloudflare с просьбой ввести команду для предоставления доступа.

«Что делает Lazarus особенно опасным прямо сейчас — это уровень их активности. Kelp, Drift и теперь новый macOS-арсенал — все в течение одного месяца. Это не случайные взломы, а государственная финансовая операция, работающая в масштабе и темпе, характерном для институций», — отметила старшая исследовательница блокчейн-безопасности CertiK Натали Ньюсон.

Напомним, в апреле стипендиат Ethereum Foundation отыскал 100 северокорейских IT-агентов в Web3-компаниях.

Ранее сеть специалистов из КНДР в криптоиндустрии также обнаружил ончейн-детектив.

Источник