Ai总结： 朝鲜黑客组织Lazarus利用伪造会议邀请发起针对Mac系统的新型恶意软件攻击，通过‘ClickFix’技术诱骗高管执行命令，已导致DeFi平台超5亿美元资金流失。该攻击隐蔽性强，依赖精准社交工程，目前正引发行业警觉。

朝鲜黑客组织发动新型Mac恶意攻击，涉资逾5亿美元

朝鲜著名黑客团体Lazarus近期启动代号为“Mach-O Man”的新型macOS恶意软件行动，利用伪装成正规视频会议的社交工程手段，对区块链与金融科技企业高管实施精准打击。攻击者通过Telegram发送仿冒Zoom、Teams或Google Meet的紧急会议链接，诱导目标在终端执行特定指令以‘修复连接问题’。

仿冒页面诱导主动执行，攻击痕迹迅速清除

攻击流程中，受害者被引导至高度仿真的会议登录页，系统提示需粘贴命令行代码以恢复音视频功能。该操作被称为“ClickFix”，其设计逻辑符合日常运维习惯，使用户误以为是常规故障处理。一旦命令被执行，定制化恶意模块即刻部署于苹果设备，具备信息采集、持久驻留及远程控制能力，并通过Telegram实现命令回传。

隐蔽性极强，传统防护难以识别

由于恶意软件在运行后立即自我删除，且攻击行为由用户主动触发，传统反病毒工具与网络监控系统难以捕捉异常信号。CertiK高级研究员Natalie Newson指出，此类手法极大提升了攻击成功率，多数受害者在感染后仍未察觉，即便事后发现也难以定位具体攻击变种。

与国家支持的金融掠夺行动深度关联

该活动被证实与Lazarus旗下“千里马”单元存在关联，依托被劫持的Telegram账号，定向投放至数字资产领域高价值目标。自4月22日披露以来，已有包括Drift和KelpDAO在内的多个DeFi平台遭受损失，累计金额超过5亿美元。结合历史数据，Lazarus自2017年以来累计盗取约67亿美元数字资产，被联合国评估为支撑朝鲜核武计划的重要资金来源。