Только что узнал о том, что активно обсуждается в кругах безопасности, и это стоит учитывать, если вы в крипто-пространстве. Исследователи подтвердили, что Lazarus Group — группировка, связанная с Северной Кореей, которая стоит за одними из крупнейших криптовзломов, ведет новую кампанию по распространению malware для macOS. Эта кампания называется Mach-O Man, и она распространяется через нечто под названием ClickFix — фреймворк социальной инженерии, охватывающий как традиционный бизнес, так и криптовалютные компании.

Вот что происходит на самом деле: жертвы получают приглашение в календарь, которое выглядит как легитимное, для звонка в Zoom или Google Meet. Кажется, всё нормально, да? Но как только они кликают, их просят выполнить команды, которые тихо загружают malware в фоновом режиме. Это умно, потому что оно обходит многие стандартные средства защиты, на которые полагаются большинство людей. Вся эта схема предназначена для сбора учетных данных, данных браузера, cookies и записей в связке ключей — в общем, всего ценного, что хранится на вашем устройстве. Как только всё соберут, они упаковывают это и отправляют через Telegram, после чего полностью удаляют себя.

Что важно отметить: это уже не только о крипте. Lazarus постепенно расширяет свою целевую аудиторию за последние несколько месяцев. В апреле они взломали Zerion, используя AI-усиленную социальную инженерию для получения учетных данных команды и приватных ключей. До этого был крупный взлом биржи в 2025 году на сумму 1,4 миллиарда долларов — один из крупнейших потерь в истории криптовалют. Ясный паттерн: они становятся все более изощренными и амбициозными.

Особенно интересно то, что касается macOS, потому что многие команды по безопасности исторически сосредотачивались больше на Windows. Это оставило некоторые уязвимости, особенно в области контроля приложений и осведомленности пользователей на системах Apple. Lazarus явно заметили это и используют в своих целях.

Для тех, кто управляет крипто-бизнесом или чувствительной инфраструктурой, это тревожный сигнал. Комбинация социальной инженерии и кражи учетных данных остается одним из самых сложных в защите векторов атак. Если вы еще не задумываетесь о принципе минимальных привилегий, белых списках приложений и мониторинге странных последовательностей загрузки и выполнения — самое время начать. Также стоит проверить, какая информация может утекать через неожиданные каналы, такие как Telegram.

Общий вывод: даже несмотря на то, что угрозы, связанные с криптовалютами, остаются в центре внимания, злоумышленники расширяют свою деятельность на другие сектора. Это означает, что поверхность атаки для бирж, кастодианов и инфраструктурных провайдеров продолжает расти. Следите за этим направлением — вероятно, появятся новые варианты этого malware с еще более изощренными способами обхода защиты. Слияние социальной инженерии, автоматической кражи учетных данных и самоуничтожения становится настоящей проблемой для защитников во всей индустрии.