新聞 
幣種資訊 
關於我們 
北韓國家級駭客組織「拉撒路斯」(Lazarus)近期發動全新「Mach-O Man」macOS 惡意程式攻擊行動,專門鎖定「加密貨幣」與「金融科技」從業人員。這波行動透過看似普通的線上會議邀請,即可竊取企業系統存取權限,讓整個產業對「北韓駭客」、「社交工程」與「macOS 攻擊面」再度繃緊神經。
根據區塊鏈安全公司 CertiK 於 23 日(當地時間)的說明,北韓國營駭客組織「拉撒路斯」正透過名為「Mach-O Man」的全新攻擊活動,集中鎖定企業高階主管與核心負責人員。CertiK 區塊鏈安全研究員 Natalie Newsom 指出,這波攻擊以一般商務溝通為偽裝,最終導向「帳號憑證竊取」與「關鍵資料外洩」,對「交易平台」、「DeFi 協議」及「加密貨幣錢包」構成重大風險。
拉撒路斯自 2017 年以來,疑似已竊取約 67 億美元(約 9 兆 9,100 億韓元)資產,成為全球「加密貨幣駭客」中資金規模最大的國家級組織之一。僅在過去兩週,他們就被懷疑是攻擊 DeFi 專案 Drift 與 KelpDAO 的幕後黑手,累積盜走超過 5 億美元(約 7,396 億韓元),說明「DeFi 安全防護」仍處於高壓態勢。
本次「Mach-O Man」活動的核心是名為「ClickFix」的社交工程手法。攻擊者透過「Telegram」等通訊工具,向目標人士發送「緊急會議」邀請,會議平台偽裝成 Zoom 或 Google Meet 頁面。當受害者進入偽造頁面後,畫面會顯示「連線錯誤」,並要求用戶在 macOS 終端機貼上簡短指令以「修復連線」。
一旦使用者照做,便等同親手執行惡意指令,攻擊者可立即取得受害者在企業內部系統、「SaaS 雲端平台」以及「資金管理帳戶」的全面存取權限。資安專家 Mauro Eldritch 指出,這類手法表面看起來就像一般 IT 支援流程,實際上卻是誘導受害者自行啟動攻擊程式的高階「社交工程」案例。
「Mach-O Man」本身是一套專為「蘋果 macOS 環境」設計的模組化惡意軟體,由拉撒路斯旗下「Chollima」分支團隊負責開發與操作,特別針對「加密貨幣交易團隊」、「風險投資機構」及「金融科技公司」常見的工作環境與工具進行優化。在部分已曝光案例中,攻擊者甚至成功奪取 DeFi 項目的網域名稱,將原本正常的站點,替換成偽裝為「Cloudflare 驗證」的假登入/驗證頁面,進一步收集管理員憑證,擴大後續入侵與資金轉移。
Newsom 補充指出,這些假頁面外觀精緻、語言自然流暢,且操作流程貼近一般「雲端安全驗證」步驟,使得多數傳統資安防護與釣魚偵測機制難以及時攔截。「Mach-O Man」強調「無檔案」、「短暫駐留」與「權限提升」,讓整體攻擊鏈條更具隱蔽性。
更棘手的是,受害者往往在資金被轉出、關鍵資料已被搬移後,才驚覺遭到入侵。這款惡意程式在完成任務後會自動刪除自身檔案與部分紀錄,使得事後取證與溯源難度大幅提升。Newsom 表示,許多受害者很可能至今仍不清楚自己曾遭攻擊,即便發現可疑跡象,也難以確認究竟遭遇哪一種「拉撒路斯」變種。
評論:從「Mach-O Man」可見,北韓已將「加密貨幣駭客行動」制度化、產業化,不再是單純的網路犯罪,而是長期、持續、且組織化的「國家級威脅」。對「交易所」、「DeFi 協議」、「做市商」以及「量化基金」而言,僅加強伺服器與智慧合約安全已經不夠,還必須針對「高階主管端點設備」、「會議工具偽裝」、「社交工程訓練」等面向提出更嚴格防護策略。
此事件再次提醒,「macOS」並非天然安全,對於管理「加密貨幣私鑰」、「多簽錢包」、「機構資金帳戶」的團隊來說,任何來路不明的「修復指令」、「連線測試腳本」都應一律拒絕。隨著「拉撒路斯」不斷升級攻擊手法,安全產業也必須將其視為「常駐威脅」(APT),長期投入監控、情資分享與防禦技術,才能在下一波「加密貨幣」與「DeFi」攻擊潮來臨前,保住關鍵資產。
留言 0