Эксперты по кибербезопасности предупредили о новой волне атак хакеров из КНДРВ зоне риска — пользователи macOS

В зоне риска — пользователи macOS Lazarus Groupнашла новый способ проникновения в системы жертв через обычные рабочие звонки. Об этом рассказал специалист по кибербезопасности Мауро Элдрич. 🇰🇵#Lazarusis back with a new macOS malware kit.👷 Made up of multiple Mach-O binaries, we named it “Mach-O Man”. It is being distributed via#ClickFixin the crypto ecosystem to steal secrets.▶️ Read my full article for ANY RUN below.#DPRK#Malwarehttps://t.co/9yDesUCeMDpic.twitter.com/XD5w4kn0gh— Mauro Eldritch 🏴‍☠️ (@MauroEldritch)April 21, 2026 🇰🇵#Lazarusis back with a new macOS malware kit.👷 Made up of multiple Mach-O binaries, we named it “Mach-O Man”. It is being distributed via#ClickFixin the crypto ecosystem to steal secrets.▶️ Read my full article for ANY RUN below.#DPRK#Malwarehttps://t.co/9yDesUCeMDpic.twitter.com/XD5w4kn0gh Злоумышленники из Северной Кореи запустили кампанию с использованием модульного macOS-арсенала Mach-O Man. Его создала другая северокорейская хакерская группировкаFamous Chollima. Эти инструменты представляют собой нативные Mach-O бинарные файлы, адаптированные для экосистемы Apple, в которой работают многие крипто- и финтех-компании. Mach-O Man использует метод доставки ClickFix — технику социальной инженерии, когда жертву просят вставить команду в терминал для «исправления проблемы с подключением». Элдрич пояснил, что хакеры отправляют пользователям «срочное» приглашение на встречу в Zoom, Microsoft Teams или Google Meet через Telegram. Ссылка ведет на фишинговый сайт, который инструктирует скопировать и вставить простую команду в терминал Mac. Выполнив это, жертва предоставляет прямой доступ к корпоративным системам, SaaS-платформам и финансовым ресурсам. Чаще всего о взломе становится известно поздно, когда предотвратить ущерб уже невозможно. Исследователь Владимир С. отметил, что существует несколько вариаций описанной Элдричом атаки. I also once seen a slightly different variation of the attack where the attackers hijacked the DeFi project’s domain and replaced the website with a fake message from Cloudflare asking users to enter a command to grant access. A lot of people fell for it.I also saw an attack in…— Vladimir S. | Officer's Notes (@officer_secret)April 21, 2026 I also once seen a slightly different variation of the attack where the attackers hijacked the DeFi project’s domain and replaced the website with a fake message from Cloudflare asking users to enter a command to grant access. A lot of people fell for it.I also saw an attack in… Зафиксированы случаи, когда хакеры Lazarus захватывали домены DeFi-проектов с помощью нового арсенала, заменяя их сайты поддельным сообщением от Cloudflare с просьбой ввести команду для предоставления доступа. «Что делает Lazarus особенно опасным прямо сейчас — это уровень их активности.Kelp,Driftи теперь новый macOS-арсенал — все в течение одного месяца. Это не случайные взломы, а государственная финансовая операция, работающая в масштабе и темпе, характерном для институций», —отметиластаршая исследовательница блокчейн-безопасности CertiK Натали Ньюсон. «Что делает Lazarus особенно опасным прямо сейчас — это уровень их активности.Kelp,Driftи теперь новый macOS-арсенал — все в течение одного месяца. Это не случайные взломы, а государственная финансовая операция, работающая в масштабе и темпе, характерном для институций», —отметиластаршая исследовательница блокчейн-безопасности CertiK Натали Ньюсон. Напомним, в апреле стипендиат Ethereum Foundationотыскал100 северокорейских IT-агентов в Web3-компаниях. Ранее сеть специалистов из КНДР в криптоиндустрии такжеобнаружилончейн-детектив.