朝鲜国家主导的拉撒路集团正在进行名为“Mach-O Man”的新活动，安全专家周三警告称，该活动将常规的商业通信转变为直接盗取凭证和数据丢失的途径。

该团体，自2017年以来累计盗取的赃款估计达到67亿美元，正针对金融科技、加密货币和其他高价值的高管和公司，CertiK的高级区块链安全研究员Natalie Newson周三告诉CoinDesk。

在过去两周内，朝鲜黑客已从Drift和KelpDAO的漏洞中盗取超过5亿美元，这似乎是一次持续的活动。加密行业需要开始将拉撒路视为国家级网络行动者，和银行一样看待：“作为一个持续存在且资金充足的威胁，而不仅仅是另一个新闻头条，”她表示。

“目前拉撒路特别危险的是他们的活动水平，”Newson说道。“KelpDAO、Drift，现在又有一个新的macOS恶意软件工具包，都是在同一个月内。这不是随机黑客攻击；这是一个由国家主导的金融行动，以机构典型的大规模和速度进行。”

朝鲜已将加密盗窃变成一个有利可图的国家产业，Mach-O Man只是该过程中的最新产品，她说。虽然拉撒路创建了它，其他网络犯罪集团也在使用它。

“这是一个由拉撒路集团臭名昭著的Chollima部门创建的模块化macOS恶意软件工具包。它使用了针对加密和金融科技操作的Apple环境量身定制的本机Mach-O二进制文件，”她表示。

Newson表示，Mach-O Man使用了一种称为ClickFix的传递方法。“重要的是要明确，因为很多报道混淆了两个不同的概念，”她指出。ClickFix是一种社交工程技术，受害者被要求将命令粘贴到其终端中以修复模拟的连接问题。

该方法是拉撒路通过Telegram向高管发送“紧急”会议邀请，进行Zoom、Microsoft Teams或Google Meet通话，根据安全专家和威胁情报公司BCA Ltd.创始人Mauro Eldritch的说法。

该链接指向一个虚假但令人信服的网站， instructs他们将一个简单的命令复制并粘贴到他们的Mac终端中以“修复连接问题”。这样一来，受害者便提供了对公司系统、SaaS平台和金融资源的即时访问。到他们发现自己被利用时，通常已经太晚了。

有几种变体的攻击，安全威胁研究员Vladimir S.在X网站上表示。已经有案例表明，拉撒路攻击者通过这种新恶意软件劫持去中心化金融(DeFI)项目的域名，使用假消息替换其网站，要求他们输入命令以获得访问权限。

“这些虚假的‘验证步骤’引导受害者通过键盘快捷方式执行有害命令，”Certik的Newson说道。“页面看起来真实，说明似乎正常，受害者自己发起了这个动作——这就是为什么传统安全控制通常会错过它。”

大多数此类攻击的受害者在损害发生之前不会意识到自己的安全已被破坏，此时恶意软件也已经自行删除。

“他们可能还不知道，”她说。“如果他们知道，他们可能无法确定是哪个变体影响了他们。”