朝鲜黑客盯上苹果电脑：一条假会议链接如何偷走6.7亿|mac|安全漏洞|插件|浏览器|知名企业|苹果公司|苹果电脑

一条"Zoom会议邀请"弹出来，你点进去发现连不上。页面提示你复制一段代码到终端修复——就这一步，你的Mac已经沦陷。

这不是钓鱼邮件的老套路，是朝鲜国家黑客组织Lazarus的新玩具。他们给这套专门针对macOS的攻击工具起了个戏谑的名字："Mach-O Man"。

谁在被盯上

目标人群画得很精准：Web3创业者、金融科技高管、加密货币开发者。简单说，就是手里有大额数字资产、又经常需要跨时区开会的人。

攻击入口是Telegram。受害者会收到一条来自"熟人"的紧急消息，附带一个看起来正经的会议链接——Zoom、Teams、Google Meet都有仿冒版本。发消息的人可能是被入侵的账号，也可能是完全伪造的身份。

点击后跳转的页面做得相当逼真。域名比如update-teams[.]live、livemicrosft[.]com，打眼一看几乎不会怀疑。页面会模拟一个连接错误的提示，然后给出"解决方案"：打开终端，粘贴一段命令。

这段命令就是整个攻击的开关。它静默下载一个叫teamsSDK.bin的文件——这是Mach-O Man的第一阶段载荷。

四阶段拆解：从骗密码到搬空电脑

安全研究员Mauro Eldritch与ANY.RUN沙箱平台合作分析了这套工具链。Mach-O Man用Go语言编译成原生Mach-O二进制文件，Intel和Apple Silicon的Mac都能跑。

整个攻击分成四个阶段，每个阶段由独立的二进制文件执行特定任务：

第一阶段叫"The Stager"（teamsSDK.bin）。它的工作是铺地基：下载一个伪装成Zoom、Teams或Google Meet的虚假macOS应用包；给这个假应用临时签名，绕过macOS的执行控制；然后连续三次弹出密码输入框——前两次故意让窗口抖动，模拟"密码错误"的假象，第三次才静默收下你的凭证。

这个设计很懂心理学。大多数人第一次输错会怀疑自己手滑，第二次输错会有点慌，第三次终于"对了"会松一口气。实际上三次密码都被拿走了。

第二阶段是"The Profiler"（D1YrHRTg.bin及变体）。它把主机注册到远程控制服务器，然后系统性地扫描整台电脑：主机名、CPU型号、启动时间、操作系统版本、正在运行的进程、网络配置——还有所有浏览器的扩展插件清单，覆盖Chrome、Firefox、Safari、Brave、Opera、Vivaldi。

浏览器扩展列表是个关键信号。如果你装了MetaMask、Phantom这类加密钱包插件，攻击者就知道这台电脑值得重点照顾。

第三阶段负责长期潜伏。它在系统里创建一个名为"Antivirus Service"的文件夹，丢进去一个伪装成OneDrive的二进制文件，再安装一个LaunchAgent（com.onedrive.launcher.plist）。这样每次开机，恶意代码都会自动复活。

第四阶段是收割时刻。一个名为macrasv2的模块启动，专门搜刮浏览器保存的密码、会话Cookie、SQLite数据库里的数据，还有macOS钥匙串（Keychain）里的所有凭证。打包成user_ext.zip后外传。

为什么选Mac

这次攻击被归因于Lazarus旗下的Chollima分支。选择macOS作为目标，本身是个值得注意的信号。

长期以来，苹果生态在大众认知里相对"安全"——这种安全感部分来自市场份额，部分来自苹果更严格的应用签名机制。但 state-sponsored（国家支持的）黑客组织有资源绕过这些障碍，而高价值目标恰恰集中在Mac用户群体中。

金融科技、加密货币、Web3这几个圈子，Mac占有率显著高于平均水平。攻击者显然做了功课：不是随机撒网，是精准捕捞。

Lazarus在这个领域的"业绩"相当惊人。自2017年以来，该组织累计窃取的加密资产约67亿美元。仅近期被确认与该组织相关的攻击事件，涉案金额就超过5亿美元。

ClickFix：老套路的新包装

Mach-O Man的技术架构不算革命性，但它的社会工程入口——ClickFix——正在快速流行。

这个手法的核心是利用用户对技术细节的陌生感。终端命令对普通用户来说像天书，但"复制粘贴就能解决问题"的提示又降低了心理门槛。攻击者把恶意指令包装成"官方修复方案"，受害者主动执行了入侵自己的代码。

更隐蔽的是，这种方式绕过了很多传统安全检测。不是漏洞利用，不是恶意下载，是用户亲手输入的"合法"操作。终端里跑起来的进程，系统往往不会额外警觉。