Kuzey Koreli Lazarus Grubu, macOS için yeni zararlı yazılımla kripto şirketlerini hedef alıyor

Kuzey Kore bağlantılı ‘Lazarus Grubu’, macOS kullanıcılarını hedef alan yeni bir ‘zararlı yazılım’ kampanyasıyla yeniden gündeme geldi. Daha önce kripto para borsalarına ve cüzdanlarına yönelik saldırılarla tanınan Lazarus’un, artık geleneksel şirketlerle birlikte ‘kripto şirketleri’ni de sistematik biçimde hedef aldığı belirtiliyor.

13’ünde (yerel saatle), Cointelegraph’e göre siber güvenlik uzmanı ve tehdit istihbarat şirketi BCA Ltd’nin kurucusu Mauro Eldritch(Mauro Eldritch), ‘Mach-O Man’ adı verilen yeni bir macOS ‘kötü amaçlı yazılım’ kitini ortaya çıkardı. Bu kit, ‘ClickFix’ olarak bilinen sosyal mühendislik tekniğini kullanıyor. Saldırganlar, sahte Zoom(Zoom) veya Google Meet(Google Meet) toplantı davetleriyle kurbanları ikna ediyor ve toplantıya katılmak için belirli komutları bizzat çalıştırmalarını sağlayarak zararlı yükü sisteme sızdırıyor.

Araştırmacılara göre bu yöntem, birçok ‘güvenlik kontrolü’nü atlatabildiği için klasik antivirüs ve kurumsal savunma katmanları tarafından kolayca tespit edilemeyebiliyor. Böylece saldırganlar, ‘hesap bilgileri’, kurumsal sistemlere erişim yetkileri ve ‘kimlik bilgileri’ni sessizce ele geçirebiliyor. Uzmanlar, saldırının başarıya ulaşması halinde ‘hesap ele geçirme’, altyapıya yetkisiz erişim, doğrudan finansal kayıp ve kritik ‘veri sızıntısı’ gibi sonuçlara yol açabileceği konusunda uyarıyor.

Kampanyanın son aşamasında devreye giren bileşen ise bir ‘stealer’ zararlı yazılımı. Bu yazılım, kurbanın tarayıcı eklentilerinden gelen verileri, kayıtlı ‘giriş bilgileri’ni, çerezleri ve macOS ‘Keychain’ içindeki hassas öğeleri toplayarak arka planda dışarı sızdırıyor. Toplanan veriler önce bir ‘sıkıştırılmış arşiv’ haline getiriliyor, ardından Telegram üzerinden saldırganın kontrol ettiği kanallara gönderiliyor. Sonrasında, sistemdeki rm komutunu kullanan bir ‘kendi kendini silen script’, saldırı izlerini mümkün olduğunca ortadan kaldırıyor.

Lazarus, kripto ekosisteminde şimdiye kadarki en büyük saldırıların faili olarak uzun süredir gündemde. Özellikle 2025’te Bybit(Bybit) borsasında yaşanan yaklaşık ‘1,4 milyar dolar’lık saldırının arkasındaki grup olarak anılması, tehdidin boyutunu gösteriyor. Bu meblağ, o dönemki kurla yaklaşık ‘2 trilyon 925 milyar won’ seviyesine denk geliyor. Bunun yanında, Nisan’da yapay zeka destekli ‘sosyal mühendislik’ yöntemleriyle Zerion(Zerion) cüzdan hizmetinden yaklaşık ‘100 bin dolar’ çalındığına dair bulgular da Lazarus’la ilişkilendirildi.

Uzmanlar, son macOS kampanyasının, Lazarus’un artık yalnızca ‘kripto yerel şirketler’i değil, geleneksel kurumsal ortamları da aynı agresiflikle hedef aldığını gösterdiği görüşünde. ‘Sahte toplantı davetleri’ ve rutin iş süreçlerine gömülen oltalama denemeleri, yalnızca borsalar ve cüzdan sağlayıcıların değil, her ölçekteki şirketin benzer düzeyde ‘siber güvenlik farkındalığı’ ve ‘çok katmanlı savunma’ mekanizmasına ihtiyaç duyduğunu ortaya koyuyor. Yorum olarak, güvenlik analistleri özellikle macOS ortamlarında da “Windows kadar güvenliğe yatırım yapılması gerektiği”ni vurguluyor.