Forklog
April 24, 2026 11:15 AM UTC

Эксперты по кибербезопасности предупредили о новой волне атак хакеров из КНДР

Lazarus Group нашла новый способ проникновения в системы жертв через обычные рабочие звонки. Об этом рассказал специалист по кибербезопасности Мауро Элдрич. 🇰🇵 #Lazarus is back with a new macOS malware kit.👷 Made up of multiple Mach-O binaries, we named it “Mach-O Man”. It is being distributed via #ClickFix in the crypto ecosystem to steal secrets.▶️ Read my full article for ANY RUN below.#DPRK #Malware https://t.co/9yDesUCeMD pic.twitter.com/XD5w4kn0gh— Mauro Eldritch 🏴‍☠️ (@MauroEldritch) April 21, 2026 Злоумышленники из Северной Кореи запустили кампанию с использованием модульного macOS-арсенала Mach-O Man. Его создала другая северокорейская хакерская группировка Famous Chollima. Эти инструменты представляют собой нативные Mach-O бинарные файлы, адаптированные для экосистемы Apple, в которой работают многие крипто- и финтех-компании. Mach-O Man использует метод доставки ClickFix — технику социальной инженерии, когда жертву просят вставить команду в терминал для «исправления проблемы с подключением». Элдрич пояснил, что хакеры отправляют пользователям «срочное» приглашение на встречу в Zoom, Microsoft Teams или Google Meet через Telegram. Пример сообщения от хакеров в Telegram. Источник: Any.run. Ссылка ведет на фишинговый сайт, который инструктирует скопировать и вставить простую команду в терминал Mac. Выполнив это, жертва предоставляет прямой доступ к корпоративным системам, SaaS-платформам и финансовым ресурсам. Чаще всего о взломе становится известно поздно, когда предотвратить ущерб уже невозможно. Исследователь Владимир С. отметил, что существует несколько вариаций описанной Элдричом атаки. I also once seen a slightly different variation of the attack where the attackers hijacked the DeFi project’s domain and replaced the website with a fake message from Cloudflare asking users to enter a command to grant access. A lot of people fell for it.I also saw an attack in…— Vladimir S. | Officer's Notes (@officer_secret) April 21, 2026 Зафиксированы случаи, когда хакеры Lazarus захватывали домены DeFi-проектов с помощью нового арсенала, заменяя их сайты поддельным сообщением от Cloudflare с просьбой ввести команду для предоставления доступа. «Что делает Lazarus особенно опасным прямо сейчас — это уровень их активности. Kelp, Drift и теперь новый macOS-арсенал — все в течение одного месяца. Это не случайные взломы, а государственная финансовая операция, работающая в масштабе и темпе, характерном для институций», — отметила старшая исследовательница блокчейн-безопасности CertiK Натали Ньюсон. Напомним, в апреле стипендиат Ethereum Foundation отыскал 100 северокорейских IT-агентов в Web3-компаниях. Ранее сеть специалистов из КНДР в криптоиндустрии также обнаружил ончейн-детектив.