Северокорейская хакерская группировка Sapphire Sleet запустила новую кампанию против пользователей macOS, в ходе которой пытается украсть пароли, криптовалюту и личные данные жертв, сообщили в Microsoft. Атака строится не на эксплуатации программных уязвимостей, а на социальной инженерии: жертву убеждают собственноручно запустить вредоносный файл, что позволяет обойти встроенные механизмы защиты macOS.
Хакеры создают фальшивые профили рекрутеров в социальных сетях и на профессиональных платформах, завязывают переписку о вакансии, назначают «техническое собеседование» и просят установить видеоконференц-софт или обновление SDK. В конкретном случае, описанном Microsoft, пользователю предлагалось скачать файл Zoom SDK Update.scpt, который по умолчанию открывается в штатном приложении Script Editor. Вверху файла размещен большой блок с инструкциями по обновлению, а сразу под ним вставлены тысячи пустых строк — так вредоносная часть кода скрывается за пределами видимой области окна редактора.
После запуска скрипт сначала вызывает утилиту softwareupdate с неверным параметром — это нужно, чтобы в системе запустился подписанный Apple процесс и возникла иллюзия настоящего обновления. Параллельно через другой инструмент macOS подтягиваются новые вредоносные скрипты, которые разворачивают многоступенчатую атаку: устанавливают компонент слежки за системой под именем com.apple.cli, бэкдоры services и icloudz, а также троян com.google.chromes.updaters, замаскированный под сервис Google. Для закрепления в системе создается launch-демон с именем com.google.webkit.service.plist — он обеспечивает автозапуск вредоносного кода после перезагрузки.
Для перехвата пароля пользователя жертве показывают поддельное приложение systemupdate.app, которое выдает окно ввода пароля, визуально неотличимое от системного. Введенный пароль проверяется локально через macOS — чтобы убедиться в его корректности, — а затем отправляется хакерам через через Telegram-бот. Дальше атакующие обходят систему защиты приватности, напрямую модифицируя ее базу данных, и получают доступ к большому массиву данных. Особое внимание уделяется расширениям криптокошельков Sui, Phantom, TronLink, Coinbase, OKX, Solflare, Rabby, Backpack и менеджеру паролей Bitwarden.
Microsoft передала информацию об атаке Apple, которая уже обновила защитные механизмы в браузере Safari и сигнатуры XProtect — они автоматически устанавливаются на всех устройствах macOS. Sapphire Sleet (также известная как APT38 и связанная с Lazarus Group) действует как минимум с 2020 года и специализируется на финансовом секторе и криптовалютных платформах.
Ранее сообщалось, что с начала 2025 года связанные с Северной Кореей хакеры похитили в криптовалюте более $2 млрд — втрое больше, чем за весь 2024 год. Всего, по оценке аналитической компании Elliptic, общая стоимость украденных Пхеньяном криптоактивов уже превысила $6 млрд.
