Експерти попередили про нову хвилю атак хакерів із КНДР
Lazarus Group знайшла новий спосіб проникнення в системи жертв через звичайні робочі дзвінки. Про це розповів фахівець з кібербезпеки Мауро Елдріч.
🇰🇵 #Lazarus is back with a new macOS malware kit.
👷 Made up of multiple Mach-O binaries, we named it “Mach-O Man”. It is being distributed via #ClickFix in the crypto ecosystem to steal secrets.
▶️ Read my full article for ANY RUN below.#DPRK #Malware https://t.co/9yDesUCeMD pic.twitter.com/XD5w4kn0gh
— Mauro Eldritch 🏴☠️ (@MauroEldritch) April 21, 2026
Зловмисники з Північної Кореї запустили кампанію із застосуванням модульного macOS-арсеналу Mach-O Man. Його створила інша північнокорейська хакерська група Famous Chollima.
Інструменти — це нативні двійкові файли Mach-O, адаптовані для екосистеми Apple, у якій працює багато крипто- та фінтех-компаній.
Mach-O Man використовує метод доставки ClickFix — техніку соціальної інженерії, коли жертву просять вставити команду в термінал для «усунення проблеми з підключенням».
Елдріч пояснив, що хакери надсилають користувачам «термінове» запрошення на зустріч у Zoom, Microsoft Teams або Google Meet через Telegram.
Посилання веде на фішинговий сайт, який інструктує скопіювати й вставити просту команду в термінал Mac. Виконавши це, жертва надає прямий доступ до корпоративних систем, SaaS-платформ і фінансових ресурсів.
Найчастіше про злам дізнаються запізно, коли запобігти збиткам вже неможливо.
Дослідник Vladimir S. зазначив, що існує кілька варіацій описаної Елдрічем атаки.
I also once seen a slightly different variation of the attack where the attackers hijacked the DeFi project’s domain and replaced the website with a fake message from Cloudflare asking users to enter a command to grant access. A lot of people fell for it.
I also saw an attack in…
— Vladimir S. | Officer’s Notes (@officer_secret) April 21, 2026
Задокументовано випадки, коли хакери Lazarus перехоплювали домени DeFi-проєктів за допомогою нового арсеналу, замінюючи їхні сайти підробленим повідомленням від Cloudflare із проханням ввести команду для надання доступу.
«Що робить Lazarus особливо небезпечною просто зараз — це рівень їхньої активності. Kelp, Drift і тепер новий macOS-арсенал — усе впродовж одного місяця. Це не випадкові злами, а державна фінансова операція, що працює в масштабі та темпі, характерних для інституцій», — зазначила старша дослідниця блокчейн-безпеки CertiK Наталі Ньюсон.
Нагадаємо, у квітні стипендіат Ethereum Foundation відшукав 100 північнокорейських IT-агентів у Web3-компаніях.
Раніше мережу фахівців із КНДР у криптоіндустрії також виявив ончейн-детектив ZachXBT.