Mach-O Man : Lazarus Group Cible les Dirigeants Crypto sur Mac

Le Lazarus Group nord-coréen a déployé un nouveau kit malware macOS baptisé Mach-O Man, ciblant les dirigeants crypto et fintech via de fausses invitations Zoom sur Telegram. La même unité est à l'origine du vol de 285 millions de dollars à Drift Protocol le 1er avril et de 292 millions à KelpDAO le 18 avril — plus de 575 millions de dollars dérobés en seulement 18 jours, Mach-O Man constituant désormais le troisième vecteur d'attaque.

Comment Fonctionne Mach-O Man ?

TL;DR : Mach-O Man est un kit malware macOS conçu par le Lazarus Group qui pousse les victimes à exécuter une commande Terminal lors d'un faux appel Zoom, collectant identifiants, données Keychain et sessions navigateur avant de s'auto-supprimer.

La campagne a été identifiée le 21 avril 2026 par l'équipe de sécurité Quetzal de Bitso, en collaboration avec la plateforme d'analyse ANY.RUN. Le malware repose sur des binaires natifs Mach-O — le format exécutable d'Apple — ce qui le rend invisible pour la plupart des outils de sécurité traditionnels.

La chaîne d'attaque se déroule en quatre phases :

• Leurre : Une invitation urgente arrive via Telegram, souvent depuis un compte compromis, pour une réunion sur Zoom, Teams ou Google Meet
• ClickFix : La page frauduleuse affiche une erreur de connexion et invite la victime à coller une commande dans le Terminal macOS pour "résoudre le problème"
• Stager : La commande exécute teamsSDK.bin, qui télécharge un faux bundle applicatif avec une signature ad hoc pour contourner Gatekeeper
• Exfiltration : Le malware collecte identifiants, données du Keychain et sessions navigateur sur Chrome, Safari, Firefox, Brave et Opera — puis s'efface automatiquement

Lazarus "Mach-O Man" Malware: What CISOs Need to Know

Learn how the Lazarus "Mach-O Man" campaign targets businesses, and how SOC leaders can reduce credential theft and data exposure risk.

ANY.RUN's Cybersecurity BlogMauro Eldritch

Le Lien avec Drift et KelpDAO

CertiK a confirmé le lien direct entre Mach-O Man et les deux mega-exploits d'avril. Le mode opératoire est identique : l'ingénierie sociale comme point d'entrée, sans exploiter de vulnérabilités techniques dans les contrats. Sur Drift, la gouvernance multisig a été manipulée via du social engineering. Sur KelpDAO, l'infrastructure RPC a été compromise de l'intérieur.

Natalie Newson, chercheuse senior en sécurité blockchain chez CertiK, a été directe :

"Ce n'est pas du hacking aléatoire. C'est une opération financière pilotée par un État, fonctionnant à la vitesse et à l'échelle d'une institution."

L'unité responsable — Famous Chollima, la division opérationnelle du Lazarus Group — se voit attribuer 18 attaques pour la seule année 2026 selon Elliptic. Depuis 2017, le total dérobé atteint environ 6,7 milliards de dollars. Les Nations Unies ont confirmé que ces fonds financent directement le programme d'armement de Kim Jong Un. En France, l'ANSSI et l'AMF ont tous deux émis des recommandations de vigilance renforcée pour les acteurs du secteur crypto enregistrés en tant que PSAN.

Lazarus Group Just Released "Mach-O Man" – A Brand-New Native macOS Malware Kit Targeting Fintech, Crypto, and High-Value Executives

You get an "urgent" meeting invite over Telegram for a Zoom, Teams, or Google Meet call. The link leads to a convincing fake website that tells…

— Vladimir S. | Officer's Notes (@officer_secret) April 21, 2026

Comment Se Protéger : Checklist Opérationnelle pour les Utilisateurs Mac

Pour les professionnels de la crypto, de la fintech ou du Web3 sur Mac, voici les contre-mesures recommandées par les chercheurs de Bitso et CertiK :

• Ne jamais exécuter de commandes Terminal à la demande d'une page web ou d'un lien reçu en messagerie
• Vérifier chaque invitation à une réunion via un canal séparé et indépendant (appel téléphonique, email professionnel)
• Contrôler le dossier LaunchAgents (~/Library/LaunchAgents) pour détecter des processus suspects imitant OneDrive ou un antivirus
• Bloquer les indicateurs de compromission publiés par la Quetzal Team : IP 172.86.113.102 et 144.172.114.220
• Utiliser un hardware wallet dédié, jamais connecté à la machine de travail quotidienne
• Surveiller la section Hack de SpazioCrypto pour des mises à jour en temps réel

Qu'est-ce que le malware Mach-O Man ?

Mach-O Man est un kit malware macOS développé par le Lazarus Group nord-coréen, qui utilise de fausses invitations Zoom pour pousser les victimes à exécuter une commande malveillante dans le Terminal, permettant le vol de credentials et de sessions navigateur.

Comment Mach-O Man contourne-t-il Gatekeeper sur macOS ?

Mach-O Man utilise un bundle applicatif signé ad hoc livré via un faux téléchargement, ce qui contourne Gatekeeper car la signature paraît localement valide.

Qui sont les cibles de la campagne Mach-O Man ?

La campagne cible principalement les fondateurs crypto, les directeurs techniques (CTO), les contributeurs DeFi et les traders détenant des fonds importants — en particulier ceux utilisant macOS dans un cadre professionnel.

Le point essentiel à retenir : le Lazarus Group n'a pas besoin de compromettre vos smart contracts. Il lui suffit que vous ouvriez le Terminal de votre Mac et colliez une commande qui semble anodine. Si vous êtes fondateur, CTO, trader avec des fonds conséquents ou contributeur DeFi, vous êtes déjà une cible. Et comme l'a précisé Newson — vous ne le savez probablement pas encore. Auditez vos pratiques de réunion dès aujourd'hui, avant que les prochains millions ne disparaissent.