Vừa mới cập nhật một vấn đề đang lan truyền trong giới an ninh mạng và đáng để chú ý nếu bạn đang hoạt động trong lĩnh vực tiền điện tử. Các nhà nghiên cứu đã xác nhận rằng nhóm Lazarus—đội nhóm liên kết với Triều Tiên đã đứng sau một số vụ trộm tiền điện tử lớn nhất—đang triển khai một chiến dịch phần mềm độc hại mới dành cho macOS. Chiến dịch này gọi là Mach-O Man, và nó được phân phối qua một framework gọi là ClickFix, một phương pháp xã hội kỹ thuật nhằm lừa đảo, đang mở rộng phạm vi tiếp cận cả với các doanh nghiệp truyền thống lẫn các công ty tiền điện tử.

Dưới đây là những gì thực sự đang diễn ra: nạn nhân nhận được một lời mời lịch trình trông có vẻ hợp lệ cho cuộc gọi Zoom hoặc Google Meet. Có vẻ bình thường, đúng không? Nhưng khi họ nhấp vào, họ sẽ được nhắc chạy một số lệnh để âm thầm tải xuống phần mềm độc hại trong nền. Điều này rất tinh vi vì nó vượt qua nhiều kiểm soát an ninh tiêu chuẩn mà phần lớn mọi người dựa vào. Toàn bộ quá trình được thiết kế để thu thập thông tin đăng nhập, dữ liệu trình duyệt, cookie, và các mục trong keychain—tức là bất cứ thứ gì có giá trị trên máy của bạn. Sau khi lấy được tất cả, nó nén lại và gửi đi qua Telegram trước khi tự xóa hoàn toàn.

Điều đáng chú ý ở đây là vấn đề không còn chỉ liên quan đến tiền điện tử nữa. Lazarus đã liên tục mở rộng phạm vi mục tiêu trong vài tháng gần đây. Chúng tôi đã thấy họ xâm nhập Zerion vào tháng Tư bằng cách sử dụng kỹ thuật xã hội nâng cao bằng AI để lấy thông tin đăng nhập nhóm và khoá riêng. Trước đó, vào năm 2025, đã xảy ra vụ xâm nhập lớn vào sàn giao dịch với thiệt hại lên tới 1,4 tỷ đô la—vẫn là một trong những mất mát lớn nhất trong lịch sử tiền điện tử. Mô hình rõ ràng là: chúng ngày càng tinh vi và tham vọng hơn.

Khía cạnh macOS đặc biệt thú vị vì nhiều đội ngũ an ninh đã tập trung nhiều hơn vào môi trường Windows trong quá khứ. Điều này để lại một số lỗ hổng, đặc biệt là về kiểm soát ứng dụng và nhận thức của người dùng trên hệ thống Apple. Lazarus rõ ràng đã nhận thấy điều này và đang khai thác nó.

Đối với bất kỳ ai điều hành doanh nghiệp tiền điện tử hoặc quản lý hạ tầng nhạy cảm, đây là một lời cảnh tỉnh. Sự kết hợp giữa xã hội kỹ thuật và trộm cắp thông tin đăng nhập vẫn là một trong những phương thức tấn công khó phòng thủ nhất. Nếu bạn chưa bắt đầu nghĩ về quyền truy cập tối thiểu, danh sách cho phép ứng dụng, và giám sát các chuỗi tải xuống và thực thi lạ, thì đã đến lúc rồi. Cũng nên xem xét dữ liệu có thể bị rò rỉ qua các kênh không ngờ như Telegram.

Thông điệp rộng hơn: ngay cả khi các mối đe dọa đặc thù cho tiền điện tử vẫn còn trong tiêu đề, các hacker đang mở rộng phạm vi hoạt động sang các lĩnh vực khác. Điều này có nghĩa là bề mặt tấn công cho các sàn giao dịch, nhà quản lý tài sản và nhà cung cấp hạ tầng ngày càng lớn hơn. Hãy tiếp tục theo dõi lĩnh vực này—chúng ta có thể sẽ thấy các biến thể mới của phần mềm độc hại này xuất hiện với nhiều chiêu trò tránh né hơn nữa. Sự kết hợp giữa xã hội kỹ thuật, trộm cắp thông tin tự động và tự xóa bỏ đang trở thành một vấn đề thực sự đối với các nhà phòng thủ trong ngành.