刚刚关注到一些在安全圈内流传的内容，如果你在加密领域，这值得注意。研究人员确认，朝鲜相关组织“拉撒路斯集团”——一直涉及一些最大的加密盗窃案——正在运行一场新的macOS恶意软件活动。这次的名字叫Mach-O Man，通过一种叫ClickFix的社交工程框架进行传播，这个框架在传统企业和加密公司中都投下了相当广泛的网。

事情的实际情况是：受害者会收到看似合法的日历邀请，邀请参加Zoom或Google Meet的通话。看起来很正常，对吧？但一旦点击，系统会提示他们运行一些命令，悄悄在后台下载恶意软件。这很巧妙，因为它绕过了大多数人依赖的标准安全控制。整个过程旨在收集凭据、浏览器数据、Cookies和钥匙串条目——基本上是你机器上任何有价值的东西。一旦收集完毕，它会将数据压缩打包，通过Telegram传输，然后完全删除自己。

值得注意的是，这不再仅仅是关于加密的事情。拉撒路斯在过去几个月里不断扩大目标范围。我们在四月看到他们利用AI增强的社交工程攻破Zerion，窃取团队凭据和私钥。在那之前，2025年发生了一次重大交易所被攻破，损失达14亿美元——至今仍是加密史上最大的损失之一。规律很明显：他们变得越来越复杂，也更有野心。

macOS的角度尤其有趣，因为很多安全团队过去主要关注Windows环境。这留下了一些漏洞，特别是在应用控制和苹果系统的用户意识方面。拉撒路斯显然注意到了这一点，并在利用这些漏洞。

对于运营加密业务或管理敏感基础设施的人员来说，这是一个警钟。社交工程结合凭据盗窃，仍然是最难防御的攻击路径之一。如果你还没有开始考虑最小权限原则、应用白名单，以及监控异常的下载和执行序列，现在是时候了。同样值得审查通过Telegram等意外渠道泄露的数据。

更广泛的结论是：即使加密特定的威胁仍在头条，但攻击者正在扩大其覆盖范围。这意味着交易所、托管方和基础设施提供商的攻击面不断增加。持续关注这个领域——我们可能会看到更多变种的恶意软件出现，带有更强的规避技巧。社交工程、自动凭据盗窃和自我删除的结合，正成为行业内防御者面临的真正难题。