Ricevi un messaggio su Telegram. Qualcuno vuole un meeting. Il link porta a una pagina Zoom dall'aspetto perfetto. C'è un piccolo problema tecnico, niente di preoccupante: ti basta aprire il Terminale del Mac e incollare un comando per sistemarlo.
Fine. Sei compromesso.
Questo è Mach-O Man, il nuovo kit malware del Lazarus Group di Pyongyang — e secondo CertiK, la stessa unità responsabile del furto da 285 milioni di dollari a Drift Protocol il 1° aprile e dei 292 milioni sottratti a KelpDAO il 18 aprile.
Due colpi. Diciotto giorni. Più di 575 milioni di dollari. Adesso arriva il terzo vettore.
Come Funziona Mach-O Man
La campagna è stata identificata il 21 aprile 2026 dal team di sicurezza Quetzal di Bitso, in collaborazione con la piattaforma di analisi ANY.RUN. Il malware è costruito su binari nativi Mach-O — il formato eseguibile di Apple — rendendolo invisibile alla maggior parte degli strumenti di difesa tradizionali.
La catena d'attacco è in quattro fasi:
- Lure: un invito urgente via Telegram, spesso da un account compromesso, a una call su Zoom, Teams o Google Meet
- ClickFix: la pagina fake mostra un errore di connessione e invita la vittima a incollare un comando nel Terminale macOS per "risolvere il problema"
- Stager: il comando esegue
teamsSDK.bin, che scarica un bundle applicativo falso con firma ad hoc per aggirare Gatekeeper - Exfiltration: il malware raccoglie credenziali, dati del Keychain, sessioni browser su Chrome, Safari, Firefox, Brave e Opera — poi si autoelimina
Mauro Eldritch
La Connessione con Drift e KelpDAO
CertiK ha confermato il collegamento diretto tra Mach-O Man e i due maxi-exploit di aprile. Il playbook è lo stesso: ingegneria sociale come porta d'ingresso, non vulnerabilità tecniche nei contratti. Su Drift, la governance multisig fu manipolata tramite social engineering. Su Kelp, l'infrastruttura RPC fu compromessa dall'interno.
Natalie Newson, senior blockchain security researcher di CertiK, è stata diretta:
"Questo non è hacking casuale. È un'operazione finanziaria diretta dallo Stato che gira a una velocità e una scala tipica delle istituzioni."
L'unità responsabile — Famous Chollima, divisione operativa del Lazarus Group — ha ora all'attivo 18 attacchi attribuiti solo nel 2026 secondo Elliptic. Dal 2017, il totale rubato ammonta a circa 6,7 miliardi di dollari. I fondi finanziano direttamente il programma di armamento di Kim Jong Un secondo le Nazioni Unite.
Lazarus Group Just Released “Mach-O Man” – A Brand-New Native macOS Malware Kit Targeting Fintech, Crypto, and High-Value Executives
— Vladimir S. | Officer's Notes (@officer_secret) April 21, 2026
You get an “urgent” meeting invite over Telegram for a Zoom, Teams, or Google Meet call. The link leads to a convincing fake website that tells…
Come Proteggersi: Lista Operativa
Per chi lavora in crypto, fintech o Web3 con un Mac, le contromisure indicate dai ricercatori di Bitso e CertiK:
- Non eseguire mai comandi nel Terminale su indicazione di una pagina web o di un link ricevuto in chat
- Verifica ogni invito a meeting attraverso un canale separato e indipendente (telefono, email aziendale)
- Controlla i tuoi LaunchAgents (~/Library/LaunchAgents) per processi sospetti che imitano OneDrive o Antivirus
- Blocca gli indicatori di compromissione pubblicati dalla Quetzal Team: IP 172.86.113.102 e 144.172.114.220
- Usa un wallet hardware separato, mai connesso alla macchina usata per lavoro quotidiano
- Monitora la sezione Hack di SpazioCrypto per aggiornamenti in tempo reale
Il punto che va capito bene è questo: Lazarus non ha bisogno di bucare i tuoi smart contract. Ha bisogno solo che tu apra il Terminale del tuo Mac e incolli un comando che sembra innocente. Se sei un founder, un CTO, un trader con fondi significativi o un contributor DeFi, sei già nel mirino. E probabilmente, come ha detto Newson, non lo sai ancora.
