Эксперты по кибербезопасности предупредили о новой волне атак хакеров из КНДР 

#Lazarus#Кибербезопасность#Киберпреступления#Северная Корея (КНДР) Эксперты по кибербезопасности предупредили о новой волне атак хакеров из КНДР 

В зоне риска — пользователи macOS

22.04.2026 Мирослава Андреева

Lazarus Group нашла новый способ проникновения в системы жертв через обычные рабочие звонки. Об этом рассказал специалист по кибербезопасности Мауро Элдрич. 

🇰🇵 #Lazarus is back with a new macOS malware kit.

👷 Made up of multiple Mach-O binaries, we named it “Mach-O Man”. It is being distributed via #ClickFix in the crypto ecosystem to steal secrets.

▶️ Read my full article for ANY RUN below.#DPRK #Malware https://t.co/9yDesUCeMD pic.twitter.com/XD5w4kn0gh

— Mauro Eldritch 🏴‍☠️ (@MauroEldritch) April 21, 2026

Злоумышленники из Северной Кореи запустили кампанию с использованием модульного macOS-арсенала Mach-O Man. Его создала другая северокорейская хакерская группировка Famous Chollima. 

Эти инструменты представляют собой нативные Mach-O бинарные файлы, адаптированные для экосистемы Apple, в которой работают многие крипто- и финтех-компании.

Mach-O Man использует метод доставки ClickFix — технику социальной инженерии, когда жертву просят вставить команду в терминал для «исправления проблемы с подключением».

Элдрич пояснил, что хакеры отправляют пользователям «срочное» приглашение на встречу в Zoom, Microsoft Teams или Google Meet через Telegram.

Ссылка ведет на фишинговый сайт, который инструктирует скопировать и вставить простую команду в терминал Mac. Выполнив это, жертва предоставляет прямой доступ к корпоративным системам, SaaS-платформам и финансовым ресурсам. 

Чаще всего о взломе становится известно поздно, когда предотвратить ущерб уже невозможно. 

Исследователь Владимир С. отметил, что существует несколько вариаций описанной Элдричом атаки. 

I also once seen a slightly different variation of the attack where the attackers hijacked the DeFi project’s domain and replaced the website with a fake message from Cloudflare asking users to enter a command to grant access. A lot of people fell for it.

I also saw an attack in…

— Vladimir S. | Officer's Notes (@officer_secret) April 21, 2026

Зафиксированы случаи, когда хакеры Lazarus захватывали домены DeFi-проектов с помощью нового арсенала, заменяя их сайты поддельным сообщением от Cloudflare с просьбой ввести команду для предоставления доступа.

«Что делает Lazarus особенно опасным прямо сейчас — это уровень их активности. Kelp, Drift и теперь новый macOS-арсенал — все в течение одного месяца. Это не случайные взломы, а государственная финансовая операция, работающая в масштабе и темпе, характерном для институций», — отметила старшая исследовательница блокчейн-безопасности CertiK Натали Ньюсон. 

Напомним, в апреле стипендиат Ethereum Foundation отыскал 100 северокорейских IT-агентов в Web3-компаниях. 

Ранее сеть специалистов из КНДР в криптоиндустрии также обнаружил ончейн-детектив. 

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Facebook X Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

Материалы по теме

Хакеры атаковали Volo и вывели $3,5 млн из пулов WBTC и USDC

Arbitrum заморозил 30 000 ETH в рамках расследования взлома Kelp

Глава Deutsche Bank: мы не паникуем из-за Mythos

Eth.limo восстановила контроль над доменом после взлома easyDNS

Инвесторы вывели из Aave более $8,6 млрд на фоне взлома Kelp

Протокол Kelp лишился $293 млн после атаки на кроссчейн-мост

Стипендиат Ethereum Foundation отыскал 100 северокорейских IT-агентов в Web3-компаниях

Drift получил $127 млн от Tether для выплаты компенсаций жертвам взлома 

СМИ: Binance и Coinbase запросили доступ к «опасной» ИИ-модели от Anthropic