新聞 
幣種資訊 
關於我們 
北韓駭客組織「拉撒路集團(Lazarus)」近期啟動名為「Mach-O Man(맥오 맨)」的新型攻擊行動,專門鎖定「加密貨幣」與「金融科技」相關企業,並透過「日常企業溝通」作為入侵管道,使整體威脅程度明顯升級。資安社群指出,這波行動並非單次事件,而是北韓長期「國家級網路金融作戰」的一環。
根據區塊鏈安全公司 CertiK 近期發布的分析,拉撒路集團目前正向多家「金融科技」與「加密貨幣」企業高階主管散布新型 macOS 惡意程式套件「Mach-O Man」。CertiK 資深研究員 Natalie Newson 表示,這類攻擊會「直接利用企業的日常溝通渠道」,進一步竊取登入憑證與核心業務資料,對整體「加密產業」構成實質威脅。
過去數年,拉撒路集團已透過各類針對「加密貨幣」和「去中心化金融(DeFi)」的攻擊,累計竊取約 67 億美元資金。僅在最近兩週,就先後入侵 DeFi 專案 Drift 與 KelpDAO,非法轉走超過 5 億美元。評論 這意味相關行動早已超越單一駭客事件,更接近「長期、系統化的國家收益模式」。
此次「Mach-O Man」攻擊的核心技術,結合了社交工程與企業通訊工具。攻擊者會先透過 Telegram 向目標發送「緊急會議」或「突發協作需求」邀請,並附上偽裝成 Zoom、Microsoft Teams 或 Google Meet 的視訊連結。當受害者點擊後,會被導向設計精細的釣魚頁面。
在這些頁面中,駭客會假借「連線錯誤排除」、「安全性驗證」等名義,要求使用者將一段指令貼到 macOS 的終端機執行。一旦指令被啟動,攻擊者就能取得企業內網系統、雲端軟體(SaaS)帳號與「數位資產錢包」等敏感權限。資安研究員 Mauro Eldritch 指出,這些釣魚頁面在外觀與互動流程上「極為逼真」,往往會讓受害者在不知情的情況下「親自完成」整個入侵步驟,傳統防毒與防火牆幾乎難以及時偵測。
「Mach-O Man」本身是一組模組化惡意程式,由拉撒路旗下的「Chollima」團隊專門針對蘋果 macOS 環境打造,採用 Mach-O 執行檔格式,以提高在蘋果系統上的隱蔽性與相容性。研究顯示,這組工具特別針對「加密交易公司」、「資產管理機構」與「DeFi 團隊」常用的開發與辦公環境進行優化,顯示攻擊活動高度有的放矢。
實際案例中,已有 DeFi 專案網站的網域被成功奪取。攻擊者會偽裝成 Cloudflare 的安全通知頁面,聲稱需要用戶在終端機中輸入特定指令,以解決「連線驗證問題」。當專案方或管理人員依指示操作後,網站控制權便遭完全接管,進而可能導致「智慧合約管理權限」、「金庫多簽權限」等被轉移。Newson 指出,由於整個流程看似「正常技術支援」,而且命令是由合法用戶親自輸入,現行許多安全防護方案容易「誤判為合法操作」而放行。
更棘手的是,「Mach-O Man」在完成關鍵任務後,會自動刪除主要程式與執行紀錄,大幅降低事後鑑識的可行性。受害團隊往往在資金遭轉移、系統出現異常時,才意識到遭入侵,卻很難回溯確切攻擊路徑與惡意程式樣本。Newson 說明,多數企業是在「損失已經發生」之後,才開始排查。而由於惡意程式版本不斷更新、刪痕機制成熟,就連專業團隊在短時間內也難以鎖定具體變種與完整攻擊鏈。
評論 「Mach-O Man」行動顯示,北韓正將「加密貨幣」視為長期外匯來源,以國家級資源持續強化其網路攻擊能力。對「加密貨幣交易所」、「DeFi 協議團隊」與「錢包服務商」而言,拉撒路集團已不能被視為偶發風險,而是「常態化、持續進化的國家級威脅」。在此背景下,產業內部被建議強化多重身分驗證、縮減高權限帳號範圍,並提升對「日常通訊中社交工程攻擊」的警覺,將此類攻擊情境納入員工安全訓練與應變流程之中。
留言 0