蘋果 Mac 用戶小心！北韓駭客 Lazarus 祭出全新惡意軟體「Mach-O Man」：一個動作接管你的電腦

Mac 用戶拉響資安警報！北韓駭客組織 Lazarus Group 釋出針對蘋果系統的全新惡意軟體「Mach-O Man」。駭客會假扮合作夥伴發出假的視訊開會連結，並誘騙高管在終端機貼上一段「修復連線」的指令，藉此瞬間控制系統並洗劫資產。據 CertiK 警告，Lazarus 近兩週已瘋狂盜走超過 5 億美元，整個加密產業都應將其視為國家級的重大威脅。 （前情提要：北韓駭客遭反殺！ZachXBT 扒出內部支付伺服器資料：假工程師月賺百萬鎂、密碼竟是 123456） （背景補充：如何一秒分辨北韓駭客？面試官要求「大罵金正恩」，假日本工程師嚇到秒破功）   加密貨幣圈最惡名昭彰的北韓國家級駭客組織 Lazarus Group，正帶著針對蘋果用戶量身打造的全新武器，向 Web3 企業高管發起猛烈攻擊。 根據區塊鏈資安機構 CertiK 的最新警告，Lazarus Group 正在運行一場名為「Mach-O Man」的全新攻擊活動。該活動巧妙地將日常的商務溝通，轉變為竊取機密憑證與造成龐大資金損失的直接管道。 專攻蘋果 macOS：兩週狂盜 5 億美元 自 2017 年以來，Lazarus Group 累積竊取的資金估計已高達 67 億美元。而他們近期的攻擊頻率更是令人咋舌。 CertiK 高級區塊鏈安全研究員 Natalie Newson 指出，光是在過去兩週內，這批北韓駭客就透過針對 DeFi 協議 Drift 與 KelpDAO 的攻擊，成功捲走了超過 5 億美元的資產。 「讓 Lazarus 現在變得特別危險的原因在於他們的『活躍程度』。KelpDAO、Drift，以及現在這個全新的 macOS 惡意軟體套件，全都發生在同一個月內。這不是隨機的駭客行為，而是一場規模與速度皆達到機構級別的國家金融行動。」 她進一步解釋，「Mach-O Man」是由 Lazarus 旗下惡名昭彰的 Chollima 部門所創建的模組化 macOS 惡意軟體套件。它使用了原生的 Mach-O 二進位檔案，專門為加密貨幣與金融科技領域廣泛使用的蘋果（Apple）系統環境量身打造。 拆解攻擊手法：「ClickFix」社交工程誘騙 這套駭客工具之所以防不勝防，在於它採用了被稱為 「ClickFix」 的社交工程（Social Engineering）傳遞手法。 威脅情報公司 BCA Ltd 創辦人 Mauro Eldritch 與 CertiK 專家詳細拆解了這個攻擊流程： 發送緊急邀請：駭客會透過 Telegram 等通訊軟體，向企業高管發送「緊急」的商務會議邀請（可能是 Zoom、Microsoft Teams 或 Google Meet）。 假網站與假錯誤：受害者點擊連結後，會進入一個逼真的假網站，網站會跳出提示，聲稱需要「修復連線問題（fix a connection issue）」。 誘騙複製指令：網站會指示受害者複製一段看似簡單的指令，並貼上到他們 Mac 電腦的「終端機（Terminal）」中執行。 全面淪陷：一旦受害者自行輸入並執行了指令，駭客就能立即獲取對企業系統、SaaS 平台與財務資源的存取權限。 此外，資安研究員 Vladimir S. 也指出該攻擊有其他變體。例如，駭客會劫持 DeFi 專案的網域，並將網站替換成偽造的 Cloudflare 驗證頁面，同樣是要求受害者輸入終端機指令以「授予存取權限」。 傳統資安防線難以察覺 Newson 警告道：「這個頁面看起來很真實，指示看起來很正常，而且是由受害者『自己』發起動作的 —— 這就是為什麼傳統的安全防護控制通常會漏掉它。」 更可怕的是，Mach-O Man 具備極強的隱蔽性。大多數受害者直到資金被洗劫一空，才會意識到自己的安全防線已經被突破。而到了那時，該惡意軟體通常「已經將自己刪除」以掩蓋行蹤，讓受害者甚至無法確定自己究竟中了哪一種變體病毒。動區強烈呼籲所有加密從業者，切勿在終端機中執行任何來路不明的指令碼。 相關報導 Circle 單方面凍結 16 家企業錢包，北韓駭客贓款卻袖手旁觀 求職面試竟是北韓駭客陷阱！PurpleBravo入侵逾3,100個IP地址，AI與加密貨幣公司成最大獵物 北韓駭客 2025 年盜竊創紀錄：竊取 20.2 億美元加密貨幣，洗錢周期約 45 天〈蘋果 Mac 用戶小心！北韓駭客 Lazarus 祭出全新惡意軟體「Mach-O Man」：一個動作接管你的電腦〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。